Bonjour,

Pour mon retour, j'annonce une nouvelle grave : une faille de sécurité critique est présente en version RC1 !

Si vous avez déjà installé cette version sur un forum public, il est souhaitable de fermer temporairement votre forum.

[ajout]

Un patch est désormais disponible :
http://www.vbulletin.com/forum/showpost.php?p=586786 (http://www.vbulletin.com/forum/showpost.php?p=586786)
http://www2.vbulletin.com/forum/showpost.php?p=586786 (si l'adresse précédente ne fonctionne pas)

[ajout]

Cette faille ne concerne que les versions RC1 de vbulletin téléchargées le 3 et le 4 janvier.

Pas encore installée, qu'en local.

Merci pour la nouvelle !

Par contre, tu aurais un lien de la discussion sur vb.com si une discussion a été ouverte ?

Vous ne trouverez pas d'info officielle pour le moment, car le bug concerné dans le bug tracker de Jelsoft vient de passer en invisible.

http://www.vbulletin.com/forum/bugs.php?do=view&bugid=1694

Ok on attend des nouvelles dans ce cas-là.

dommage deja installee :( :( :( :004: :004:

j espere qu ils vont se bouger rapidos :055: :055: :055:

Conseil personnel : fermez temporairement votre forum si il est en RC1.

Hum je vais voir ça de plus prêt

Conseil confirmé : fermez votre forum si vous êtes en RC1.

Conseil confirmé : fermez les inscriptions et votre forum si vous êtes en RC1.
c est fait merci beaucoup

C'est seulement sur la version RC1 ou aussi les versions antérieures ?

Je crois que j'aurais pas dû poser cette question, on va tous repasser en vB 2.x

Seulement en RC1

au fait le forum complet faut fermer ou juste les ins.criptions ???

Tout le forum.

Que permet la faille de sécurité ?

oui j aurais aime savoir aussi !!!

Qelque chose de bien grave si le forum est à fermer en entier.

Si on le dit, il y aura des forums piratés, et ce n'est dans l'intérêt de personne.

Il est important de savoir que "fermer les forums" est nécessaire et suffisant pour se protéger.

ok merci a vous
attendons que cela soit resolu
fais chier quand meme

Si vous souhaitez informer vos visiteurs, vous pouvez donner un lien vers cette présente discussion dans le message explicatif de fermeture du forum.

ce que je vais faire merci

Si on le dit, il y aura des forums piratés, et ce n'est dans l'intérêt de personne.

Il est important de savoir que "fermer les forums" est nécessaire et suffisant pour se protéger.
Dire ce que cela fait ne donne pas la solution pour le faire ;)

Si tu as envie de voir une base de données vide, laisse ton forum en RC1 ouvert :)

J'ai peut-être une idée de ce que cette faille peut être, mais pas un mot ici, ni ailleurs de ma part.

Eh bien .... j'espère que Darky et Darth-Sidious vont lire ça, car styles-vbulletin.com a été mis à jour en RC1.

Voilà, le patch est disponible :
http://www.vbulletin.com/forum/showpost.php?p=586786
http://www2.vbulletin.com/forum/showpost.php?p=586786 (si l'adresse précédente ne fonctionne pas)

Voila, le patch est disponible :
http://www2.vbulletin.com/forum/showpost.php?p=586786
petite question bete !!
je remplace les fichiers avec ceux la ?? c est tout ???

d avance merci

Vi, suffit de remplacer ;)

Lumina, tu pourrais nous dire ce en quoi consistait ce problème maintenant qu'il peut être patché ?

si tu veux pas en public, je suis là sur ICQ ;)

impeccable merci

Oula c'était mauvais signe ca, heureusement qu'un patch est deja disponible.

Nous, je ne donnerai pas plus d'explications que n'en donne Jelsoft. À la fois parce qu'il reste des forums vulnérables (comme le site cité par Eve Ra) et parce que si un site venait à être piraté à cause de mes explications, je pourrais être comdamnée pour complicité ou autre chose.

ben flute alors je ne sais aller sur aucune des url de Lumina ou de Eve_Ra pour le patch comment ca se fait ca ?

Re-essayes, ça doit passer.

Sinon, déco-reco et retentes les 2 adresses.

Forbidden
You don't have permission to access /forum/showpost.php on this server.


--------------------------------------------------------------------------------

Apache/1.3.29 Server at www2.vbulletin.com Port 80

retire le "2".

oui là c bon merci Lumina ;)

Ils ont vite réagi, chez Jelsoft !! j'ai déja mis à jour ma version locale, bien qu'elle n'ait aucun accès extérieur.

Ben attends, vu le bug que ça devait être, ils avaient intérêt à vite agir !

Cette faille est aussi valable sur vbulletin gamma. Il est indispensable de mettre votre forum à jour pour éviter tout risque d'intrusion.

esperons qu il n y aura pas d autres surprises dans le meme genre !!!

Sophocle, il est expliqué plusieurs fois au cours de la discussion que ce n'est que pour RC1...

Eh bien .... j'espère que Darky et Darth-Sidious vont lire ça, car styles-vbulletin.com a été mis à jour en RC1.
t'en fait pas chaton je patche de suite ;)

Sophocle, il est expliqué plusieurs fois au cours de la discussion que ce n'est que pour RC1...
Ben compare les fichiers ma chérie et tu verras que les fichiers de la version gamma sont aussi pourris que ceux de la version RC1 :D

mdr, c'est un vrai chan ici :011:

merci pour ces infos, je vais me mettre a jour :)

Ben compare les fichiers ma chérie et tu verras que les fichiers de la version gamma sont aussi pourris que ceux de la version RC1 :D
Je te répondrais par ça :

On Sunday a bug was discovered in the Release Candidate 1 code that we felt represented a security problem, and a patch release was issued. This issue affects only RC1 and only users who registered on the board after RC1 was installed. This bug has been eliminated completely for RC2 and we would recommend that any board running RC1 should upgrade to RC2 as soon as possible.
http://www.vbulletin.com/forum/showthread.php?t=91204

:)

Oui, alors ça, c'est facile de faire cette remarque alors que le message de Kier est postérieur à mon intervention :D Mieux vaut alerter du monde pour rien que ne pas alerter quand un risque existe.

Comme le dit sophocle je vient de test la faille sur mon forum en gamma est ça marche aussi.

Ps : Pour ceux qui voudrais connaitre la faille vous m'oubliez ;)

Didzi, moi j'ai testé en gamma, et ça ne marchait pas.

Moi je connais pas la faille mais j'ai upgradé en RC2 :D

J'aime quand on réagit comme ça ;)

Par contre, mets à jour la version de ton vB dans ton profil :)

Oula vi, j'ai oublié ^^

Forum patché de mon côté aussi (merci pour le mail, ils sont un peu avares en messages chez jelsoft, rien reçu de leur part, pour une faille pareille, ils pourraient se le permettre).

Sinon, la faille est en effet assez énorme, et plutôt facile à découvrir en comparant les fichiers qu'ils proposaient comme patch et les anciennes version des mêmes fichiers...

Bon moi rien téléchargé on va aller téléchargé la derniere :D

Salut.
ou je peux telecharger le patch?
Car il n'y a plus d'endroit ou l'on peut le prendre.

Merci d'avence.

Télécharges la version RC2, le patch est dedans ;)

ils sont un peu avares en messages chez jelsoft, rien reçu de leur part, pour une faille pareille, ils pourraient se le permettre
Tu m'étonnes :D

Télécharges la version RC2, le patch est dedans ;)
Et ou je peux la telecharger? :)

merci d'avence ;)
a+

On dirait que tu as pas la licence....

http://www.vbulletin.com/members/

Rappelle lui quand meme que c'est payant...juste au cas ou...:p

Si le lien ne marche pas essaye www2.vbulletin.com/members

Mais sans licence tu ne peux pas y accéder !!!!

lol :D

Hihi :D

Au moins comme ca on sera fixé :)