北京时间昨天下午,安全机构向我们报告了一个安全缺陷,影响 vBulletin 版本 3.5.x 和 3.6.x.虽然报告不是很准确,发布的攻击代码只有在一个非常难以满足的条件下才可能发起攻击,但是它揭示了这些版本的 vBulletin 中存在的潜在的安全问题.
因此,我们决定发布升级版本,也就是 vBulletin 3.5.8 和 3.6.5.我们建议所有运行 vBulletin 3.5.x 或 3.6.x 的客户升级到相应的版本或者尽快为自己的论坛打上补丁.
因此,我们决定发布升级版本,也就是 vBulletin 3.5.8 和 3.6.5.我们建议所有运行 vBulletin 3.5.x 或 3.6.x 的客户升级到相应的版本或者尽快为自己的论坛打上补丁.
值得一提的是,若要发起攻击,攻击者必须满足如下条件:
vBulletin 3.6.5 修正的 Bug
安全缺陷
详情...
另外,在 Internet Explorer 7 的增强还意味着 vBulletin 弹出菜单的某些方面,在以前需要特殊手段实现的效果,现在不需要了。其中的代表便是用于隐藏所有菜单内.
查看:vBulletin 中文官方网站
- 必须已经拥有版主权限
- 必须和当前登录到管理面板的某个管理员有同样的 IP 地址 (或有相同的符合在管理面板中设置的“会话 IP 八进制长度检查”的 IP 地址段)
- 必须知道管理员的 Alt-IP 和浏览器的用户代理 (User Agent) (也就是浏览器使用的版本必须一致)
- 或者必须知道被攻击网站的许可证号
vBulletin 3.6.5 修正的 Bug
安全缺陷
公告中描述的,可能会潜在的允许某个 SELECT 查询被劫持的安全缺陷,已经被修正。Safari Cookies
在 vBulletin 运行在某一特定的服务器环境下时,使用 Apple 浏览器 Safari 的用户会过早的登出系统。此问题已经得到解决。Internet Explorer 7 兼容性微软决定在调用 Javascript prompt() 函数时,弹出安全警告信息,此举引起了很多争议。这一改变导致 vBulletin 的文本编辑器系统在用户尝试插入图像或 Email 链接时弹出警告信息。现在在 Internet Explorer 7 下将不再使用 prompt(),而是使用一种替代方法来获得用户输入的信息。
详情...
详情...
另外,在 Internet Explorer 7 的增强还意味着 vBulletin 弹出菜单的某些方面,在以前需要特殊手段实现的效果,现在不需要了。其中的代表便是用于隐藏所有菜单内.
查看:vBulletin 中文官方网站