Affichage des résultats 1 à 10 sur 10

Discussion: Faille de sécurité dans vBulletin 3.8.6

  1. #1
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140

    Attention Faille de sécurité dans vBulletin 3.8.6

    Une grosse faille de sécurité a été « installé » dans vBulletin 3.8.6 et a été découverte il y a une heure maximum. Bien évidemment, nous n'en dirons rien sur son fonctionnement.

    La personne sur IRC qui l'a trouvé l'a signalé sur le bug tracker de vBulletin (en demande privé) et je l'ai validé et assigné au développeur en chef. J'ai aussi contacté les devs sur Skype pour les tenir très vite informés.

    Pour le moment, la seule possibilité de correction est de NE PAS autoriser l'accès au fichier faq.php de QUICONQUE (même de vos co-admins) et de modifier vos informations de connexion à la base de données.
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  2. #2
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Il nous est parvenu le fait que vBulletin 3.8.6 contient une faille de sécurité en relation avec la FAQ. Si vous avez déjà installé vBulletin 3.8.6, suivez les instructions suivantes afin de corriger ceci :

    1. Téléchargez le patch 3.8.6 PL1 :

      http://members.vbulletin.com/patches.php
    2. Supprimez le fichier vbulletin-language.xml du répertoire « install ». Puis placez le nouveau fichier du même nom dans ce répertoire. Soyez certain de placer ce fichier au format ASCII.
    3. Ensuite placez ces 2 fichiers depuis le patch sur votre installation de vBulletin :

      includes/version_vbulletin.php
      install/vbulletin-language.xml
    4. Allez dans votre Logiciel d'Administration et effectuez ceci :

      Logiciel d'Administration -> Langues & Expressions -> Exporter / Importer les langues -> Importer le fichier langue XML

      Laissez les paramètres comme tels et cliquez sur « Importer ».

    Veuillez noter que si vous n'avez pas mis à jour à vB 3.8.6, le logiciel à télécharger est déjà patché.

    http://www.vbulletin.com/forum/showt...ease-3.8.6-PL1
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  3. #3
    Date d'inscription
    October 2002
    Localisation
    www
    Messages
    1 038
    Version de vBulletin
    5.1
    Hébergeur
    Servint (Côte Est)
    Billets dans le blog
    2
    Pouvoir de réputation
    84
    Ah, ces développeurs vb ! Ils laissent traîner des bouts de phrase dans les fichiers php et après, lorsque la chose est rapportée, ils sont tout excités ! Même vbseo en profite pour relancer leurs clients, via un email urgent, sur la dite faille et la nécessité d'upgrader à la dernière version de vbseo.

    Merci pour l'annonce !
    .
    .
    .
    Dernière modification par esf ; 22/07/2010 à 00h25.

  4. #4
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Un ENORME merci à toi Pitchoune. Déjà que la mise à jour est plutôt limitée, mais en plus les développeurs font de la merde...
    Après avoir vu la faille, je propose que vous fassiez pareil dans les fichiers de traduction, ça pourrait mettre de l'ambiance.
    Dernière modification par cclaerhout ; 22/07/2010 à 10h25.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  5. #5
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Un fichier langue français façon « fake » ?
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  6. #6
    Date d'inscription
    September 2002
    Localisation
    France
    Âge
    39
    Messages
    11 293
    Version de vBulletin
    5.0
    Hébergeur
    Serveur dédié OVH
    Billets dans le blog
    13
    Pouvoir de réputation
    140
    Même la BBC s'en mêle..

    http://www.bbc.co.uk/news/technology-10714192

    Imaginez le scandale que cela peut provoquer...

    Même si cela est une grosse faute d'IB, Jelsoft a eu les siennes quasi similaires, on est pas obligé de les blâmer. Dix-sept (17) versions de vB 3.0.x à l'époque...
    vBulletin Quality Assurance
    Développeur en chef de Project Tools 2.1+ pour vB 4 et 2.0 pour vB 3
    Restera très discret sur toutes les futures fonctionnalités de vBulletin ainsi que de vBulletin 5 Connect jusqu'à leur sortie publique ^^

    Tout MP d'aide -> Supprimé

  7. #7
    Date d'inscription
    January 2005
    Localisation
    Taiwan
    Âge
    44
    Messages
    672
    Version de vBulletin
    3.8
    Hébergeur
    Hostdime
    Pouvoir de réputation
    75
    Citation Envoyé par Pitchoune Voir le message
    Même si cela est une grosse faute d'IB, Jelsoft a eu les siennes quasi similaires, on est pas obligé de les blâmer. Dix-sept (17) versions de vB 3.0.x à l'époque...
    Y'en a qui ne sont pas du même avis http://vbtruth.com
    Je cite : "To err is human, to screw up a stable version of vBulletin requires Internet Brands."
    Traductions au choix : "Faire une erreur est humain, mais foutre en l'air une version stable de vBulletin ne pouvait être l'œuvre que d'Internet Brand"
    "Si l'erreur est humaine, l'exploit de foutre en l'air une version stable de vBulletin est, lui, à mettre au crédit d'Internet Brands."
    Dernière modification par cclaerhout ; 24/07/2010 à 18h39.
    P.S : Arrêtez de m'appeler "cclaerhout" svp. J'ai pris ce nom plus comme un identifiant qu'un pseudo. Dites "Cédric", ça sera plus sympa.

  8. #8
    Date d'inscription
    March 2003
    Localisation
    Sur mon coussin
    Messages
    5 556
    Version de vBulletin
    4.2
    Hébergeur
    localhost
    Pouvoir de réputation
    106
    Miaouuu... ne me caressez pas à rebrousse-poils, ça fait de l'électricité !
    Aucune demande d'aide par mp ne sera prise en compte !

  9. #9
    Date d'inscription
    January 2005
    Localisation
    EU
    Âge
    39
    Messages
    1 428
    Version de vBulletin
    5.0
    Hébergeur
    Serveurs PRIMERGY
    Pouvoir de réputation
    77
    Ah la la, IB IB, Internet Bugger !

  10. #10
    Date d'inscription
    December 2004
    Localisation
    Paris
    Âge
    51
    Messages
    1 171
    Version de vBulletin
    4.2
    Hébergeur
    OVH
    Pouvoir de réputation
    77
    LOL excellent :-)

Informations de la discussion

Utilisateur(s) sur cette discussion

Il y a actuellement 1 utilisateur(s) naviguant sur cette discussion. (0 utilisateur(s) et 1 invité(s))

Les tags pour cette discussion

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •