Bonsoir,

Avis à tous, un patch de sécurité est sortie pour les versions vb 3.8.7 et vb 4.1.3, à installer tout de même bien que la faille ne soit pas confirmée, elle touche la librairie Yahoo YUI.

Pour ce faire, pas besoin de lancé un upgrade.php, le simple remplacement des fichiers suffit, la possibiltié de le faire manuellement est expliquer à la fin dde la citation ci-dessous.

Source: http://www.vbulletin.com/forum/showthread.php/380885-vBulletin-Security-Patch-for-4.X-and-3.X?p=2165615#post2165615


vBulletin Security Patch for 4.X and 3.X
Yahoo YUI Security Exploit

We have been notified of a potential, but unconfirmed exploit in vBulletin 3 and 4 (all versions) via the Yahoo YUI component library.
To rectify this issue we have released a patch for the latest version of vBulletin 3 and vBulletin 4, vBulletin 3.8.7 and vBulletin 4.1.3. Forthcoming vBulletin 4.1.4 will not be affected.
As such, we have released:

vBulletin Publishing Suite 4.1.3 PL1
vBulletin Forum Classic 4.1.3 PL1
vBulletin Forum Classic 3.8.7 PL1



Upgrade Process
The upgrade process is the same as previous patch level releases - simply download the patch from the Members Area (http://members.vbulletin.com/patches.php), extract the files and upload to your webserver, overwriting the existing files. There is no upgrade script required.
As with all security-based releases, we recommend that all customers upgrade as soon as possible in order to prevent any potential damage resulting from the flaw being exploited.



New installations/upgrades
If you are upgrading your site, or installing a new copy of our software, the latest software packages include the patch. These can be downloaded from your Members Area (http://members.vbulletin.com/)



To manually fix versions prior to vBulletin 4.1.3 and 3.8.7

Edit one line in class_core.php file located in /includes/class_core.php ; find the following line “define('YUI_VERSION', '2.7.0'); // define the YUI version we bundle” ; replace this line with “define('YUI_VERSION', '2.9.0'); // define the YUI version we bundle”
In AdminCP; Go to “Options” => “Server Settings and Optimization Options” ; find “Use Remote YUI” option and in the dropdown switch to a server of your choice, Google or Yahoo.

Merci !! déja sorti et dèja une announce sur VB ressources xD

Si le patch n'était pas sorti, il n'y aurait pas eu d'annonce :)

Ouai mais on va dire si le staff de VB aurait sortie à 3h du matin sa veut pas dire qu'il y aura une annonce sur VB Ressources à 3h du matin xD

Bonjour,

Je n'ai pas vraiment bien compris pour l'installation de la mise à jour : Est ce que l'on peut m'aider en m'expliquant Étape par étape.

J'ai effectivement télécharger le dossier vbulletinsuite_4-1-3_Patch_Level_1. Que dois je remplacer dans mon ftp et la procédure à suivre dans Admin Cp.

Merci car vraiment je ne suis pas vraiment douée pour ces choses.

Bonne journée

bonjour LAYLA

tu up tous le fichier le dossier sur ton ftp que tu a télécharger . juste te sa byby

Merci pour l'info Ombre tu ne veut pas me le faire , je n'ai pas le courage trop de travail :D

ha la faignasse :D

Oui il faut juste envoyer le contenu du dossier "Upload" qui se trouve dans l'archive de vb 4.1.3 pl1 que tu as télécharger sur vb.com dans le dossier de ton forum, écrase le tout par ces nouveaux fichiers, le correctif ne demande pas plus d'action, seulement ça, pas besoin de lancer un upgrade.

Oui il faut juste envoyer le contenu du dossier "Upload" qui se trouve dans l'archive de vb 4.1.3 pl1 que tu as télécharger sur vb.com dans le dossier de ton forum, écrase le tout par ces nouveaux fichiers, le correctif ne demande pas plus d'action, seulement ça, pas besoin de lancer un upgrade.

Bonjour,

Merci beaucoup pour ces précieux conseils.

Bonne fin de journée

Au plaisir,

Pour info, la faille dans YUI touche le composant SWF (gestion de Flash) qui est utilisé par le gestionnaire de fichiers joints avancés.
Les utilisateurs qui chargent la librairie depuis un CDN (Options > Paramètres du serveur et options d'optimisation > Utiliser les fichiers YUI à distance) ont la faille déjà corrigée.

Bonsoir,

Je ne connaissais pas cette option "Utiliser les fichiers YUI à distance". Merci Simon pour l'info

Bonne Soirée

Au plaisir

Je ne connaissais pas cette option "Utiliser les fichiers YUI à distance". Merci Simon pour l'infoDe rien :) C'est utile pour les performances car le javascript n'a besoin d'être chargé qu'une seule fois, il est ensuite en mémoire pour tous les forums vB avec une version équivalente.