Internet Brands приложили руку к vb3, как и было ожидаемо в очередной раз облажались.

Итак, все кто обновился до 3.8.6 - просто удалите faq.php; все предыдущие версии (выпущенные Jelsoft) не содержат баг.

Quote:

Originally Posted by Floris

IB devs introduced a HUGEEEEEEEE oopsie in 3.8.5, which carried over to 3.8.6. (3.8.5 does not seem affected)

My buddy who made the vBulletin 4 to 3 downgrade script was tweaking his script and noticed the issue and tested it, which spit out the full database details to the 3.8.6 forum, a guest can query it.

I strongly recommend (if you run 3.8.6) to remove faq.php
and then change your mysql database details as a precaution.

Pitch (bug scrubber) was on IRC with us, assigned it to lead developer Kevin, so IB is now aware of it.
This way (we asked to create bug report), tracker.vbulletin.com/browse/VBIII-12798 , and this thread, now customers are too.

Good luck everybody!

ыыы короче реально нормальная стабильная версия булки так и осталась 3.8.4 PL2

Да уж, в данном случае цирк приехал, а не уехал...

это просто катастрофа. чинить десяток небольших багов и плодить кучу новых.

а где именно баг?
в какой части кода?
может в приинклуденном файле?
я сравнил файлы (faq.php) от версий 3.8.4 / 3.8.5 /3.8.6
единственное отличие, это версия форума и ревизия файла

неофициальное решение

Quote:

We believe the following should be enough to patch a 3.8.6 board that's vulnerable to the faq.php exploit that a buddy of ours found today and made aware to vBulletin.com

Installation instructions.

Since all you need to do is hook into vBulletin via global.php and delete the phrase from the language, the following should be enough:

Put it in wtn_386_patch.php

Upload to forum directory

Run from browser

Remove from forum directory

And test if you're still vulnerable.

wtn_386_patch.php

PHP Code:

<?php // wtn_386_patch.php 
error_reporting(E_ALL & ~E_NOTICE & ~8192); 
require_once('./global.php'); 
$db->query_write("DELETE from " . TABLE_PREFIX . "phrase WHERE varname = 'database_ingo'"); 
echo "Done"; 
?>

Please note that we're still testing, rebuilding languages might be required, but I don't believe that's needed.

If rebuild is required, perhaps add

require_once(DIR . '/includes/adminfunctions.php');
after require global
and then before echo on a new line
build_options();
build_language(0);
build_language_datastore();

я так понял суть проблемы - faq.php мог показывать дебаг информацию, включающую в себя секретные данные базы данных

Quote:

Originally Posted by kerk

единственное отличие, это версия форума и ревизия файла

единственный аргументированный пост
А то одна паника ))))
Может кто-то заиспользовал нуль от неизвестной магакулхакер-команды, тогда неудивительно что там эксплоиты (странно если бы их там не было )))))))))

Тю, давно всем рекомендую дальше 3.8.4 PL2 не соваться. =)

anonym666, Смысла в данном патче - просто 0
это обычный тупой запрос удаляющий одну фразу из таблицы фраз и все О самом эксплоите ни слова.
И для информации - global.php вызывается в любом скрипте булки - это ядро и ему пофиг откуда вызываться из faq.php или из mysuperfuckscript.php

на members.vbulletin.com уже обновились дистрибутивы 3.8.6 с исправлением, кто до этого качал эту же версию может сравнить файлы с помощью diff

патч пока не выкладывали...