[Zyntherius]

vBulletin 3.0.13

This release of vBulletin addresses a minor cross-site scripting flaw discovered by imei addmimistrator, fixes numerous bugs and adds a new feature.


More on:
vBulletin 3.0.13
http://www.vbulletin.com/forum/showthread.php?t=176176

vBulletin 3.5.4
http://www.vbulletin.com/forum/showthread.php?t=176170


Waiting for some patches :]

[MaxElc]

Ну что ж... Дождались - найдена очередная XSS (в паблике ее нет)

Разработчики подсуетились и выпустили новую версию. И еще два патча (для нас, нелегалов)

Как и в прошлый раз патч в двух вариантах: новые php в архиве и плагин. Как и в прошлый раз патчи закрывают только проблемы в безопасности и не добавляют новых функций. А этих функций всего две: продолжение интеграции со скайп и дополненный инструмент для проверки версий файлов.

Ставим ИЛИ php-патч, ИЛИ продукт!

И еще - возможно в патчах есть код, который необходимо нулить, поэтому безопаснее будет поставить плагин

[Rule]

Цитата:

Сообщение от MaxElc

выпустили новую версию. И еще два патча (для нас, нелегалов)

Тоесть новая версия-одно. А плагин- другое. Я правильно понял?

[MaxElc]

Совершеннно верно. Но пока нет нуля новой версии придется пользоваться плагином

[mapu]

vBulletin 3.5.4
http://www.vbulletin.com/forum/showt...postid=1079030

http://www.vbulletin.com/download.php

download and upload!

plz guys! :( :o

[SHREEF]

Топой сюда http://vbsupport.org/forum/showthread.php?t=3616

[SHREEF]

отличия:
в файле
sendmessage.php
353
<?php
354
<?#shebang#?><?php

в functions.php
353
строка 46-50 пусто
354
строка 46-50
/**
* @ignore
*/
define('COOKIE_SALT', '[#]license[#]');

353
строка 605
return preg_match('#^[a-z0-9.!\#$%&\'*+-/=?^_`{|}~]+@([0-9.]+|([^\s]+\.+[a-z]{2,6}))$#si', $email);
354
строка 610
return preg_match('#^[a-z0-9.!\#$%&\'*+-/=?^_`{|}~]+@([0-9.]+|([^\s\'"<>]+\.+[a-z]{2,6}))$#si', $email);

353
строка 1051
$user['logouthash'] = md5($user['userid'] . $user['salt']);

354
строка 1056
$user['logouthash'] = md5($user['userid'] . $user['salt'] . COOKIE_SALT);

353
строка 1644
$cookie = md5($cookie) . $cookie;

строка 1650
if (md5($cookie) == $firstpart)

354
строка 1649
$cookie = md5($cookie . COOKIE_SALT) . $cookie;
строка 1655
if (md5($cookie . COOKIE_SALT) == $firstpart)

354
строка 4436
# Downloaded: [#]zipbuilddate[#]


вот и все отличия!

[netwind]

в патче точно есть код нуждающийся в нуллении, если просто поставить - слетает авторизация у некоторых пользователей.

netwind добавил 23.02.2006 в 15:34
получается сам патч вот в этом:

functions.php
В районе строчки 610
меняем
return preg_match('#^[a-z0-9.!\#$%&\'*+-/=?^_`{|}~]+@([0-9.]+|([^\s]+\.+[a-z]{2,6}))$#si', $email);

---
на
return preg_match('#^[a-z0-9.!\#$%&\'*+-/=?^_`{|}~]+@([0-9.]+|([^\s\'"<>]+\.+[a-z]{2,6}))$#si', $email);

и в sendmessage.php меняем :
в районе 515
eval(standard_error(fetch_error('showemail', $destusername, $userinfo['email'])));
на
eval(standard_error(fetch_error('showemail', $destusername, htmlspecialchars_uni($userinfo['email']))));

SHREEF, остальное что ты понаписал в нульке менять не надо, а то сломается авторизация.

[Zyntherius]

Thank you very mutch boss ! But do you have maybe patch_30x from 3.0.12 to 3.0.13 ?

[SHREEF]

netwind
хорошо , переделаю и выложу тут или у себя