Pitchoune
18/08/2008, 14h54
vBulletin 3.7.2 PL2 / vBulletin 3.6.10 PL4
Une faille de sécurité XSS affectant l'échappement des chaînes de caractères dans du code JavaScript a été identifié. Il permet à un attaquant d'effectuer des actions en tant qu'utilisateur ou d'obtenir un accès à des comptes des autres comptes utilisateurs. Pour résoudre cette faille de sécurité, il est nécessaire de rendre disponible une seconde version Patch Level (PL2) pour vBulletin 3.7.2 et une quatrième version Patch Level (PL4) pour vBulletin 3.6.10.
Cette faille de sécurité a été découvert par Federico Muttis (http://www.coresecurity.com/).
Le processus de mise à jour est le même que pour les versions PL - téléchargez simplement le patch depuis l'Espace Membres (http://members.vbulletin.com/patches.php), extractez les fichiers et envoyez-les sur votre serveur web, en écrasant les fichiers déjà existants. Il n'y a aucun besoin d'un quelconque script de mise à jour.
Comme toutes les versions de sécurité, nous recommandons à tous les licenciés de se mettre à jour aussi vite que possible afin d'éviter toute perte de données résultant de cette faille de sécurité.
Sortie de vBulletin 3.7.3 et 3.6.11 la semaine prochaine
Selon notre nouvelle police de maintenance prévue (http://www.vbulletin.com/forum/showthread.php?t=273299), nous avons évalué les mérites de fournir une nouvelle version de maintenance un mois après la version précédente ou d'attendre le mois suivant. Il a été défini de vouloir rendre disponible vBulletin 3.7.3 et 3.6.11 le mardi 26 août 2008.
Ces versions contiennent des corrections de bugs mais aussi corrigera le fait d'utiliser son identifiant comme mot de passe. Dans vBulletin 3.6.11 et 3.7.3, cette possibilité sera complètement désactivé. Les utilisateurs affectés par ceci devront modifier leur mot de passe lors de leur première connexion. De plus, un outil sera fourni pour envoyer un email aux utilisateurs affectés avec un nouveau mot de passe. Veuillez prendre en compte ces modifications de compatibilité lors de vos mises à jour.
Ces versions sont mentionnées dans le bulletin de sécurité envoyé à nos licenciés aujourd'hui, mais nous ne fournirons pas de nouvelle notification la semaine prochaine quand vBulletin 3.7.3 et 3.6.11 seront disponibles. Regardez les nouvelles dans le Logiciel d'Administration ou la dernière version dans le Logiciel d'Administration pour voir quand cette version sera disponible. Alternativement, gardez un œil sur ce forum pour l'annonce de vBulletin 3.7.3 et 3.6.11.
Mise à jour depuis 3.7.2, 3.6.10 ou leurs versions PL
Si vous utilisez déjà 3.7.2, 3.6.10 ou leurs versions PL, le processus qui sera requis de suivre pour s'immuniser de la faille XSS est simple.
Il n'y a pas besoin d'exécuter un script de mise à jour si vous êtes déjà en 3.7.2, 3.6.10 ou leurs versions PL.
Veuillez vous rendre dans la partie Patchs de l'Espace Membres de vBulletin (http://members.vbulletin.com/patches.php) et téléchargez soit le patch pour 3.7.2 ou le patch pour 3.6.10, selon la version que vous utilisez actuellement, puis extractez les fichiers de l'archive téléchargé, transférez ces fichiers sur votre forum via FTP etc. en écrasant les fichiers déjà existants. Ceci mettra à jour votre version à la version PL correspondante.
Le fichier patch pour vBulletin 3.7.2 PL2 contient le patch pour la version PL1. Cette chose est vraie aussi pour vBulletin 3.6.10 PL4.
Mise à jour depuis une autre version que 3.7.2 ou 3.6.10
Si vous n'utilisez pas encore les versions 3.7.2 ou 3.6.10, vous devez télécharger la dernière version actuelle dans l'Espace Membres (http://members.vbulletin.com/) et d'effectuer la mise à jour habituelle.
Instructions entières sur la mise à jour de vBulletin. (http://forum.vbulletin-fr.org/showthread.php?t=11568)
Téléchargement de vBulletin 3.7.2 PL2 ou 3.6.10 PL4
Comme d'habitude, ces versions sont disponibles pour tous les licenciés avec une licence valide depuis l'Espace Membres.
Espace Membres de vBulletin (http://members.vbulletin.com/)
http://www.vbulletin.com/forum/showthread.php?t=282133
Une faille de sécurité XSS affectant l'échappement des chaînes de caractères dans du code JavaScript a été identifié. Il permet à un attaquant d'effectuer des actions en tant qu'utilisateur ou d'obtenir un accès à des comptes des autres comptes utilisateurs. Pour résoudre cette faille de sécurité, il est nécessaire de rendre disponible une seconde version Patch Level (PL2) pour vBulletin 3.7.2 et une quatrième version Patch Level (PL4) pour vBulletin 3.6.10.
Cette faille de sécurité a été découvert par Federico Muttis (http://www.coresecurity.com/).
Le processus de mise à jour est le même que pour les versions PL - téléchargez simplement le patch depuis l'Espace Membres (http://members.vbulletin.com/patches.php), extractez les fichiers et envoyez-les sur votre serveur web, en écrasant les fichiers déjà existants. Il n'y a aucun besoin d'un quelconque script de mise à jour.
Comme toutes les versions de sécurité, nous recommandons à tous les licenciés de se mettre à jour aussi vite que possible afin d'éviter toute perte de données résultant de cette faille de sécurité.
Sortie de vBulletin 3.7.3 et 3.6.11 la semaine prochaine
Selon notre nouvelle police de maintenance prévue (http://www.vbulletin.com/forum/showthread.php?t=273299), nous avons évalué les mérites de fournir une nouvelle version de maintenance un mois après la version précédente ou d'attendre le mois suivant. Il a été défini de vouloir rendre disponible vBulletin 3.7.3 et 3.6.11 le mardi 26 août 2008.
Ces versions contiennent des corrections de bugs mais aussi corrigera le fait d'utiliser son identifiant comme mot de passe. Dans vBulletin 3.6.11 et 3.7.3, cette possibilité sera complètement désactivé. Les utilisateurs affectés par ceci devront modifier leur mot de passe lors de leur première connexion. De plus, un outil sera fourni pour envoyer un email aux utilisateurs affectés avec un nouveau mot de passe. Veuillez prendre en compte ces modifications de compatibilité lors de vos mises à jour.
Ces versions sont mentionnées dans le bulletin de sécurité envoyé à nos licenciés aujourd'hui, mais nous ne fournirons pas de nouvelle notification la semaine prochaine quand vBulletin 3.7.3 et 3.6.11 seront disponibles. Regardez les nouvelles dans le Logiciel d'Administration ou la dernière version dans le Logiciel d'Administration pour voir quand cette version sera disponible. Alternativement, gardez un œil sur ce forum pour l'annonce de vBulletin 3.7.3 et 3.6.11.
Mise à jour depuis 3.7.2, 3.6.10 ou leurs versions PL
Si vous utilisez déjà 3.7.2, 3.6.10 ou leurs versions PL, le processus qui sera requis de suivre pour s'immuniser de la faille XSS est simple.
Il n'y a pas besoin d'exécuter un script de mise à jour si vous êtes déjà en 3.7.2, 3.6.10 ou leurs versions PL.
Veuillez vous rendre dans la partie Patchs de l'Espace Membres de vBulletin (http://members.vbulletin.com/patches.php) et téléchargez soit le patch pour 3.7.2 ou le patch pour 3.6.10, selon la version que vous utilisez actuellement, puis extractez les fichiers de l'archive téléchargé, transférez ces fichiers sur votre forum via FTP etc. en écrasant les fichiers déjà existants. Ceci mettra à jour votre version à la version PL correspondante.
Le fichier patch pour vBulletin 3.7.2 PL2 contient le patch pour la version PL1. Cette chose est vraie aussi pour vBulletin 3.6.10 PL4.
Mise à jour depuis une autre version que 3.7.2 ou 3.6.10
Si vous n'utilisez pas encore les versions 3.7.2 ou 3.6.10, vous devez télécharger la dernière version actuelle dans l'Espace Membres (http://members.vbulletin.com/) et d'effectuer la mise à jour habituelle.
Instructions entières sur la mise à jour de vBulletin. (http://forum.vbulletin-fr.org/showthread.php?t=11568)
Téléchargement de vBulletin 3.7.2 PL2 ou 3.6.10 PL4
Comme d'habitude, ces versions sont disponibles pour tous les licenciés avec une licence valide depuis l'Espace Membres.
Espace Membres de vBulletin (http://members.vbulletin.com/)
http://www.vbulletin.com/forum/showthread.php?t=282133