[Админам]

[TAIFUN]

Очередной патч для vB 3.8.7 + vB 4.1.4

Команда vBulletin пересмотрела некоторые моменты по вопросу безопасности и внесла коррективы с целью повышения безопасности движка vB

В админке появилась новая опция:

Redirect Domain Whitelist



-----
Как обновиться с 3.8.7 PL1 на 3.8.7 PL2 ?

1. Отключите форум
2. Сделайте резервную копию БД и файлов форума
3. Зайдите в members area и скачайте патч согласно своей версии форума. Внимание! Если вы используете Mobile API на движке версии 3.8.7, то вы должны скачать патч 3.8.7 PL2 MAPI
4. Залейте файлы, которые находятся в папке /install/ из дистрибутива 3.8.7 PL1 (почему их нет в папке с патчем я не знаю)
   (если вы качаете патч из этого сообщения, то пропустите этот пункт)
5. Распакуйте архив с патчем и залейте содержимое архива на FTP (файлы нужно перезаписать)
6. Вызовите скрипт обновления в браузере /install/upgrade.php и произведите обновление форума
7. Удалите папку install из FTP форума
8. Включите форум

---
Не хотите дожидаться пока кто-то занулит патч для vB 3.8.7? Берём нижеперечисленные файлы из дистрибутива 3.8.7 PL1 и вносим изменения ручками.
Самые "ленивые" могут скачать патч и пропустить нижеприведённую информацию (не относится к обладателям 3.8.7 PL1 MAPI).
Скачать vBulletin v3.8.7 PL2 Patch Only [TAIFUN]

Новые фразы:

Файл: vbulletin-adminhelp.xml
Добавленные строки: 3767-3770
Фраза:

Код:

		<helptopic disp="1" act="options" opt="redirect_whitelist">
			<title date="1308093536" username="vBulletin Solutions" version="3.8.7 Patch Level 2">Redirect Domain Whitelist</title>
			<text date="1308335116" username="vBulletin Solutions" version="3.8.7 Patch Level 2">For advanced domain configuration only! These are domain names that point to your forum in addition to the main Forum URL configured in vBulletin settings. These domains will be considered safe and allowed as redirection targets by the vBulletin software. This option should remain blank in most installations.</text>
		</helptopic>

~~~
Файл: vbulletin-language.xml
Добавленная строка: 3001
Фраза:

Код:

		<phrase name="invalid_redirect_url_x" date="1308006843" username="vBulletin Solutions" version="3.8.7 Patch Level 2"><![CDATA[Invalid Redirect URL ({1})]]></phrase>

Строки: 9253-9260

Код:

		<phrase name="setting_redirect_whitelist_desc" date="1308335090" username="vBulletin Solutions" version="3.8.7 Patch Level 2"><![CDATA[Optional, advanced additional URL configuration. This setting should remain blank for most installations. Specify additional domains of your forum:<br />
<br />
Examples:<br />
http://www.example2.com<br />
http://www.example.com<br />
<br />
Note: do not add a trailing slash. ('/')]]></phrase>
		<phrase name="setting_redirect_whitelist_title" date="1308335090" username="vBulletin Solutions" version="3.8.7 Patch Level 2"><![CDATA[Redirect Domain Whitelist]]></phrase>

---
Новые настройки

Файл: vbulletin-settings.xml
Добавленные строки: 183-186
Код:

Код:

		<setting varname="redirect_whitelist" displayorder="26">
			<datatype>free</datatype>
			<optioncode>textarea</optioncode>
		</setting>

-----------
Изменения в файлах из папки includes

Файл: functions.php
Добавленные строки: 3043-3089
Код:

Код:

	if ($vbulletin->url)
	{
		$foundurl = false;
		if ($urlinfo = @parse_url($vbulletin->url))
		{
			if (!$urlinfo['scheme'])
			{	// url is made full in exec_header_redirect which stops a url from being redirected to, say "www.php.net" (no http://)
				$foundurl = true;
			}
			else
			{
				$whitelist = array();
				if ($vbulletin->options['redirect_whitelist'])
				{
					$whitelist = explode("\n", trim($vbulletin->options['redirect_whitelist']));
				}
				// Add $bburl to the whitelist
				$bburlinfo = @parse_url($vbulletin->options['bburl']);
				$bburl = "{$bburlinfo['scheme']}://{$bburlinfo['host']}";
				array_unshift($whitelist, $bburl);

				// if the "realurl" of this request does not equal $bburl, add it as well..
				$realurl = VB_URL_SCHEME . '://' . VB_URL_HOST;
				if (strtolower($bburl) != strtolower($realurl))
				{
					array_unshift($whitelist, $realurl);
				}

				$vburl = strtolower($vbulletin->url);
				foreach ($whitelist AS $url)
				{
					$url = trim($url);
					if ($vburl == strtolower($url) OR strpos($vburl, strtolower($url) . '/', 0) === 0)
					{
						$foundurl = true;
						break;
					}
				}
			}
		}
		
		if (!$foundurl)
		{
			eval(standard_error(fetch_error('invalid_redirect_url_x', $vbulletin->url)));
		}
	}

~~~
Файл: version_vbulletin.php
Содержимое файла заменено на:

Код:

<?php

define('FILE_VERSION_VBULLETIN', '3.8.7 Patch Level 2');

?>

Удачного обновления.

[xorex]

TAIFUN, Опередил меня ))

сидел щас сравнивал файлы захожу а тут уже темка есть

собстно что нарыл

* private.php (Изменена/добавлена проверка цитаты в ЛС)
* admincp\diagnostic.php (Версия)
* includes\class_core.php (Только комментарии)
* includes\class_dm_pm.php
* includes\class_dm_user.php (Только комментарии)
* includes\functions.php (Добавлена опция описанная в патче)
* includes\md5_sums_vbulletin.php
* includes\version_vbulletin.php (Версия)
* install\install.php (Версия)
* install\upgrade.php (Версия)
* install\upgrade_387.php (Новый файл)(Версия)
* install\upgrade_language_en.php (Версия)
* install\vbulletin-adminhelp.xml (Новый пункт помощи для администратора)
* install\vbulletin-language.xml (Добавлены 2 новые фразы и одна изменена)
* install\vbulletin-settings.xml (Добавлена одна настройка)
* install\vbulletin-style.xml (Добавлен securitytoken к ссылке о прочтении раздела)

[TAIFUN]

Цитата:

Сообщение от xorex

собстно что нарыл

Хм, а ты с файлами какой версии сравнивал?
Я у себя вижу изменения только в тех файлах о которых написал в 1-ом сообщении.
---

Цитата:

Сообщение от xorex

Опередил меня ))
сидел щас сравнивал файлы захожу а тут уже темка есть

Бывает )

[xorex]

В первом посте явно пару важных файлов не хватает private.php и vbulletin-style.xml, и не пойму почему их в отдельном патче нету даже на офе, ведь если сравнивать целиком архивы в них есть изменения...

xorex добавил 12.07.2011 в 05:47

Цитата:

Сообщение от TAIFUN

Хм, а ты с файлами какой версии сравнивал?

Сравнивал целиком архивы 3.8.7 pl 1 и 3.8.7 pl 2

xorex добавил 12.07.2011 в 05:54
видимо я по ошибке удалил архив pl1 и сравнивал с 387beta1, проверь пожалуйста если остался старый архив. Я еще подумал дежавю, вроде секуртокен к ссылкам о прочтении уже добавляли до этого а тут снова.

[TAIFUN]

xorex, да, ты с другой версией сравнивал.

[xorex]

Оффтоп

Терь ясно, последний нул от Макса был как раз 387бета1 и все следующие апдейты я делал вручную без замены всех файлов, соответственно и сравнивал с ним.

[Orfo]

По поводу файла class_core.php
В оригинальном файле такая версия библиотеки YUI или это просто файл старый? Я так понял это FintMax занулил файл.

PHP код:

define('YUI_VERSION', '2.7.0'); 


п.с. в нуле от FS версия указана по новее

PHP код:

define('YUI_VERSION', '2.9.0'); 


[hoo]

Orfo, это в 3.8.7 PL1 было изменено с 2.7.0 на 2.9.0

[Orfo]

так в том то и вопрос к чему этот даунгрейд.

[TAIFUN]

Orfo, благодарю за внимательность.

---
Внимание! Архив перезалит.

*исправление в файле class_core.php (скачайте патч заново и перезалейте этот файл)