vBulletin 3.0.8

zCarot · 29.07.2005, 12:33

Вышел vBulletin 3.0.8

Цитата:

Пока мы сосредоточились на разработке vBulletin 3.5, пользователи сообщили о разнообразных проблемах и ошибках в серии 3.0.

vBulletin 3.0.8 включает исправления разнообразных мелких ошибок и несколько средних проблем безопасности. Мы настоятельно рекомендуем вам обновить текущую версию форума до 3.0.8, если на данныу момент у вас установлена более старая версия серии 3.0.х.

Если же вы установили предварительную версию vBulletin 3.5, то вам не следует устанавливать vBulletin 3.0.8 - исправления этих ошибок уже включены в RC1.

Изменения поддержки MySQL 4.1

Множество людей заметило, что MySQL 4.1 не поддерживает метод хранения вложений, автатаров, фотографий и других данных, используемый в vBulletin 3.0.x, приводящий к повреждению данных.

Скрипт обновления 3.0.8 запустит несколько запросов к БД для разрешения этой проблемы, чтобы аватары, вложения и пр. хранились должным образом и в MySQL 4.1.

Опять же, изменения уже включены в vBulletin 3.5.

Вот запросы, которые выполнит скрипт:

ALTER TABLE attachment CHANGE filedata filedata MEDIUMBLOB NOT NULL, CHANGE thumbnail thumbnail MEDIUMBLOB NOT NULL;
ALTER TABLE customavatar CHANGE avatardata avatardata MEDIUMBLOB NOT NULL;
ALTER TABLE customprofilepic CHANGE profilepicdata profilepicdata MEDIUMBLOB NOT NULL;

XSS атака в faq.php, private.php, и некоторые шаблоны

Есть возможность для межсайтового выполения скриптов используя дыры в faq.php и private.php предыдущих версий vBulletin 3.0.x; исправленые версии этих файлов были прикреплены к этому сообщению. Просто перезапишите эти файлы в главной директории форума.

Атака может пройти и через шаблоны. Изменения для предотвращения атаки описаны на vbulletin.com.

vBulletin 3.0.8 исправит все эти недостатки.

Резервное копирование вашего форума

Пожалуйста, выполняйте резервное копирование вашей базы данных, перед тем как выполнить какое-либо обновление. Были сообщения, что в процессе обновления при попытках создания резервной копии БД PHP вызывал таймаут, что приводило к повреждению БД. Самый безопасный способ создания резервной копии - использовать скрипт mysqldump через SSH/Telnet, так как ни у кого ещё не было проблем с ним.

Файлы, изменённые с 3.0.7

attachment.php
calendar.php
editpost.php
external.php
faq.php
forumdisplay.php
global.php
index.php
newreply.php
poll.php
postings.php
printthread.php
private.php
profile.php
register.php
search.php
showthread.php
subscription.php
threadrate.php
usercp.php
usernote.php
admincp/accessmask.php
admincp/admincalendar.php
admincp/adminlog.php
admincp/adminreputation.php
admincp/backup.php
admincp/forumpermission.php
admincp/global.php
admincp/index.php
admincp/misc.php
admincp/moderator.php
admincp/options.php
admincp/profilefield.php
admincp/subscriptions.php
admincp/template.php
admincp/thread.php
admincp/user.php
admincp/usertools.php
archive/global.php
clientscript/vbulletin_global.js
clientscript/vbulletin_stdedit.js
includes/adminfunctions.php
includes/adminfunctions_template.php
includes/functions.php
includes/functions_bbcodeparse.php
includes/functions_calendar.php
includes/functions_cron.php
includes/functions_databuild.php
includes/functions_digest.php
includes/functions_file.php
includes/functions_forumdisplay.php
includes/functions_forumlist.php
includes/functions_newpost.php
includes/functions_online.php
includes/functions_search.php
includes/functions_showthread.php
includes/functions_subscriptions.php
includes/functions_upload.php
includes/functions_user.php
includes/sessions.php
modcp/banning.php
modcp/index.php
modcp/moderate.php
modcp/thread.php
modcp/user.php
subscriptions/authorize.php
subscriptions/nochex.php
subscriptions/paypal.php
subscriptions/worldpay.php

Пипец...Во дают..

Pauk · 29.07.2005, 14:09

Блин, а как же его ставить, когда в этих файлах у меня столько хаков напихано?

29.07.2005, 14:29

использую программы сравнения файлов и смотри, что обновилось, а далее ставь код хаков из старой версии в новую, то же самое и с базой. Главное старым кодом не замени новый.

Pauk · 29.07.2005, 16:53

Думаю, проще будет вообще ничего не трогать. Неужели в 3.0.8 столько много изменений и дополнений?

zCarot · 29.07.2005, 17:09

мы здесь тока обновили эти 2 файла. До 3.0.8 обновляться скорее всего не будем (хотя мож мне взбредёт в голову до воскресенья провести апгрейд.. но это вряд ли)
Аналогичная ситуация со многими дружественными сайтами.

casablanca · 29.07.2005, 21:04

Млин, скажите плиз, чё та я не понял, а в этом патче решена проблема взаимодействия 3.0.7 с php-4.3.10???

zCarot · 29.07.2005, 21:06

патч исправляет тока XSS.
3.0.8 исправляет MySQL 4.1
в заявлении про PHP ничё не говорилось.

SiriuS · 29.07.2005, 21:52

Если не обновляться опасно ли это на 3.0.7 сидеть?
P.s И ещё глупый вопрос этот патч версию форума не сделает не нулёной?

zCarot · 29.07.2005, 21:56

хз насчёт опасности.. вообще патчик бы стоит поставить... а полное обновление имхо необязательно.
патч проверен. всё нормально. в нулификации не нуждается

SiriuS · 29.07.2005, 22:19

Патч всмысли всего 2 файла заменить?
А где сам vB 3.0.8 скачать что бы обновится? И ещё 3.0.x и 3.5.x будет отдельно развиватся и обновлятся?