vBulletin 3.6.5 及中文版发布

2007年03月02日 19:19 次阅读 稿源: 条评论
北京时间昨天下午,安全机构向我们报告了一个安全缺陷,影响 vBulletin 版本 3.5.x 和 3.6.x.虽然报告不是很准确,发布的攻击代码只有在一个非常难以满足的条件下才可能发起攻击,但是它揭示了这些版本的 vBulletin 中存在的潜在的安全问题.
因此,我们决定发布升级版本,也就是 vBulletin 3.5.8 和 3.6.5.我们建议所有运行 vBulletin 3.5.x 或 3.6.x 的客户升级到相应的版本或者尽快为自己的论坛打上补丁.
值得一提的是,若要发起攻击,攻击者必须满足如下条件:
  • 必须已经拥有版主权限
  • 必须和当前登录到管理面板的某个管理员有同样的 IP 地址 (或有相同的符合在管理面板中设置的“会话 IP 八进制长度检查”的 IP 地址段)
  • 必须知道管理员的 Alt-IP 和浏览器的用户代理 (User Agent) (也就是浏览器使用的版本必须一致)
  • 或者必须知道被攻击网站的许可证号
即使满足了这些条件,报告中声明的权限提升溢出也是几乎不可能完成的。

vBulletin 3.6.5 修正的 Bug

安全缺陷
公告中描述的,可能会潜在的允许某个 SELECT 查询被劫持的安全缺陷,已经被修正。
Safari Cookies
在 vBulletin 运行在某一特定的服务器环境下时,使用 Apple 浏览器 Safari 的用户会过早的登出系统。此问题已经得到解决。
详情...
Internet Explorer 7 兼容性微软决定在调用 Javascript prompt() 函数时,弹出安全警告信息,此举引起了很多争议。这一改变导致 vBulletin 的文本编辑器系统在用户尝试插入图像或 Email 链接时弹出警告信息。现在在 Internet Explorer 7 下将不再使用 prompt(),而是使用一种替代方法来获得用户输入的信息。
详情...

另外,在 Internet Explorer 7 的增强还意味着 vBulletin 弹出菜单的某些方面,在以前需要特殊手段实现的效果,现在不需要了。其中的代表便是用于隐藏所有菜单内.

查看:vBulletin 中文官方网站
我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

vBulletin 3.6.5 及中文版发布

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      招聘

      created by ceallan