VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Команда разработчиков vBulletin обнаружила потенциальную угрозу, связанную с уровнем безопасности шифрования паролей. В связи с чем был выпущен очередной патч.
В некоторых, пусть и редких, случаях хакер мог получить доступ (не напрямую через vBulletin, а, например, через криво сделанный плагин) к базе данных и расшифровать пароль администратора и других пользователей.
Патч изменяет способ генерирования хэша паролей, чтобы предотвратить некоторые методы расшифровывания паролей. Имейте также ввиду, что новый хэш будет сгенерирован только после смены пароля. Поэтому настоятельно рекомендуется после установки патча изменить пароли всем администраторам. Также не помешает сменить пароли и остальным пользователям.
Чтобы защититься от вышеописанной уязвимости, необходимо сделать следующее:
Если у вас установлен vB 3.7.x - обновитесь до 3.7.7.
Если у вас установлен vB 3.8.x - обновитесь до 3.8.5.
Если у вас установлен vB 4.0.0 или 4.0.1 - обновитесь до 4.0.2 PL2.
Если у вас установлен vB 4.0.2 PL1, то процесс обновления немного будет таков:
Примечание: если пользователь изменит пароль после того, как файлы патча будут залиты на FTP, но файл upgrade_402_salt.php не будет запущен, то пользователь не сможет авторизоваться. Ему нужно будет восстановить пароль повторно, после того, как вы запустите upgrade_402_salt.php. Выключение форума предотвратит эту вероятность в период обновления (хотя она и так мала).
Патч не защищает на 100% от подбора пароля. Для усложнения процедуры подбора необходимо соблюдать пару несложных правил:
Минимальная длина пароля - 6 символов. Но лучше конечно больше.
Используйте в пароле вперемешку строчные и прописные буквы, цифры, знаки препинания.
Избегайте часто употребляемых слов или слов, найденных в словарях, т.к. они используются в первую очередь при переборе.
Также рекомендуется администраторам, которые администрируют несколько сайтов, использовать для каждого свой пароль. Подобрав случайно пароль на одном, менее защищенном сайте, злоумышленник первым делом попробует этот же пароль на другом.
Патч 4.0.2 PL 2 также закрывает XSS уязвимость, найденную на странице поиска. vBulletin 3 этой уязвимости не имеет.
Warning: require_once(./upgradecore.php) [function.require-once]: failed to open stream: No such file or directory in E:\WebServers\www\forum\install\upgrade_402_salt.php on line 25
Fatal error: require_once() [function.require]: Failed opening required './upgradecore.php' (include_path='.;E:\WebServers\Smarty') in E:\WebServers\www\forum\install\upgrade_402_salt.php on line 25
Выскакивает вот такая вот ошибка по переходу по адресу упграйда.
Строки от 24 до 52:
PHP Code:
// require the code that makes it all work... require_once('./upgradecore.php');
if ($vbulletin->options['templateversion'] == VERSION) { // widen the user salt $upgrade->run_query( sprintf($upgradecore_phrases['altering_x_table'], 'user', 1, 1), "ALTER TABLE " . TABLE_PREFIX . "user MODIFY salt CHAR(30) NOT NULL DEFAULT ''" );
echo "<blockquote><p>vBulletin " . VERSION . " Security Patch</p>"; echo "<p>"; $upgrade->execute(); echo "</p><p>Completed</p></blockquote>"; print_upgrade_footer(); } else { echo "<blockquote><p> </p>"; echo "<p>Your vBulletin version does not appear to match with the version for which this script was created (version <b>" . VERSION . "</b>).</p>\n<p>Please ensure that you are attempting to run the correct script.</p>"; echo "<p> </p></blockquote>"; print_upgrade_footer(); }
Аналогично.
Мне кажется папку install надо целую копировать с нормального дистрибутива, не?
Пойду попробую
---
Собственно ололо вот в чем, копирнул я из дистрибутива 4.0.2 с файлового архива папку install, кинул файлы от патча, который Kerk залил.
Запустил файл, написали мне мол обновились таблицы, отлично.
Теперь в админке в верху vBulletin 4.0.2 vBulletin - Pl2 By Leenkat.com
Зашел я собственно туда, а там народное китайское творчество (для меня все что не русское то китайское, поэтому если там вьетнамское не ругайте).
Вопрос то в чем, это нормаха?
Патч для vBulletin - 4.0.0 PL2 и 3.7.7
