Bonsoir,

Décidément il ne leurs à pas fallut longtemps pour sortir un patch de sécurité qui touche 3 versions de vbulletin, une semaine si je ne me trompe...

Donc ce patch touche les versions suivantes, ne touche pas les versions anterieurs:

vbulletin 4.1.5
vbulletin 4.1.4
vbulletin 4.1.3

Qui deviennent donc:


vbulletin 4.1.5 pl1
vbulletin 4.1.4 pl3
vbulletin 4.1.3 pl3

Fonctionnement:

La mise à jour reste simple, dirigez vous dans votre espace membre (http://members.vbulletin.com/patches.php) de vbulletin.com, télécharger l'archive correspondante à ce patch de sécurité, et importer les fichiers sur votre espace d'hébergement en écrasent les anciens (2 fichiers seulement), et le tour est joué.

Pour ceux qui n'utilisent pas encore la version 4.1.3, la dernière archives disponible contient déjà le correctif.

Source: https://www.vbulletin.com/forum/showthread.php/385133-vBulletin-4.1.3-4.1.4-and-4.1.5-Security-Patch



vBulletin Publishing suite and Forum Classic

4.1.5pl1
4.1.4pl3
4.1.3pl3

Has been released.

This patch strengthens the security of the AdminCP to prevent a reported XSS attack in vBulletin versions 4.1.3, 4.1.4 and 4.1.5. To resolve this issue, it has been necessary to release a patch level version for these three versions only. The issue is limited to certain browsers only, and does not affect versions of vBulletin prior to 4.1.3.

The patching process is the same as previous patch level releases - simply download the patch from the Members Area (http://members.vbulletin.com/patches.php), extract the files and upload to your webserver, overwriting the existing files. There is no upgrade script required.

As with all security-based releases, we recommend that all customers upgrade as soon as possible in order to prevent any potential damage resulting from the flaw being exploited.


Patching Versions 4.1.3, 4.1.4 and 4.1.5

The process you will be required to follow to make your board immune to this flaw is very simple.

Visit the Patches section of the vBulletin Members' Area (http://members.vbulletin.com/patches.php) and download the patch for the version you are using, then extract the files from the archive you downloaded, then upload the files to your board via FTP etc., overwriting the existing files. This will update your version to the PL release.


Upgrading from Versions Earlier than 4.1.3

If you are not already running 4.1.3+, we have updated the downloadable version of our software, so you can download version 4.1.3, 4.1.4 and 4.1.5 from the Members' Area (http://members.vbulletin.com/) and perform an upgrade as normal.

Full instructions for upgrading vBulletin are available here. (http://www.vbulletin.com/docs/html/upgrade)





Merci à Olijo pour sa réactivité :).

Merci pour l'information à vous deux :)

slt

merci pour l'annonce belle traduc au passage llol ,1 semaine ;les hackers sont sur le script il vont bientôt trouver les failles le jour des news releases si ca continue.

1 semaine ;les hackers sont sur le script il vont bientôt trouver les failles le jour des news releases si ca continue.Je préfère que les failles soient corrigés publiquement dès le départ plutôt que d'attendre la prochaine release pour qu'elles soient patchés discrètement - comme le fond nombre d'éditeurs, avec le risque que des pirates les exploitent entre temps.

Merci pour cette annonce :)

Bonjour,


Fonctionnement:

La mise à jour reste simple, dirigez vous dans votre espace membre (http://members.vbulletin.com/patches.php) de vbulletin.com, télécharger l'archive correspondante à ce patch de sécurité, et importer les fichiers sur votre espace d'hébergement en écrasent les anciens (2 fichiers seulement), et le tour est joué.

Merci Ombre pour cette annonce et précieux conseils qui m'ont facilité la mise à jour avec le patch (deux fichiers seulement)

Bonne journée

Au plaisir,

Je préfère que les failles soient corrigés publiquement dès le départ plutôt que d'attendre la prochaine release pour qu'elles soient patchés discrètement - comme le fond nombre d'éditeurs, avec le risque que des pirates les exploitent entre temps.

slt

oui bien évidemment que moi aussi ,je voulais juste souligner le fait que les failles ont l'air d’être trouvées très rapidement (juste une impression je peux me tromper) et avec un zeste d'humour j'indiquais que les failles seront trouvées le jour même de la sortie de la nouvelle release.

En faite si tu regardes bien les versions touchées par cette faille, elle est présente depuis vb 4.1.3pl2 voir la version 4.1.3 probablement, donc ils ont largement eu le temps de la trouvé, je parle des vilains fouineurs :).

slt

oui c'est vrai Ombre ,donc d'un coté ont peut remercier les vilains fouineurs c'est eux qui mettent en évidence ce genre de faille llol ,mais ça ne veut pas dire qu'elle n'ait pas été exploité depuis la version 4.1.3 et qu'elle n'a pu être comblée que maintenant.