- Inscrit
- 4 Mars 2014
- Messages
- 1,251
- Reaction score
- 4,137
- Points
- 4,158
Aujourd'hui, nous sommes heureux de publier XenForo 1.5.2. Cette version corrige un certain nombre de bugs et des problèmes qui ont été trouvés depuis la version 1.5.1.
Surtout, cette version inclut un correctif pour un problème de sécurité potentiel découvert par Miguel Ángel Jimeno (@ migueljimeno96). La question emploie une tactique connue sous le nom "Tabnabbing inverse" dans lequel un lien qui ouvre un nouvel onglet contient le code qui peut rediriger l'onglet d'origine vers une autre URL, qui pourrait être utilisé comme une tentative de phishing. Nous recommandons fortement à tous les clients suivent une des méthodes suivantes pour résoudre ce problème de sécurité.
Méthode 1: Mise à niveau vers la nouvelle version
Vous pouvez mettre à niveau vers XenForo 1.5.2 pour corriger ce problème. Vous devez mettre à jour comme vous le feriez pour toute autre version. Voir plus loin dans le présent communiqué pour plus de détails sur cette version.
Méthode 2: installer le correctif (pour 1,5 Utilisateurs)
Télécharger le fichier patch zip attaché à la fin de ce message. Il contient 2 fichiers:
js / XenForo / xenforo.js
JS / XenForo / full / xenforo.js
Ces 2 fichiers doivent être téléchargés sur votre serveur, en écrasant les fichiers existants du même nom.
Notez qu'avec ce procédé il n'y a aucune indication que la pastille vers l'extérieur a été appliquée. Nous vous recommandons de passer si possible.
Autres modifications dans 1.5.2
En plus de petites corrections de bugs, 1.5.2 change la façon dont le système fonctionne lien proxy. Il ne sera plus tenter de manipuler l'URL de la cible avant il est cliqué, au lieu d'utiliser une demande de fond ajax vous connecter clic quand il arrive. Cela améliore la précision à l'exploitation forestière, y compris l'exploitation forestière succès de détails qui étaient auparavant pas connectés, et réduit les interférences avec les systèmes qui changent dynamiquement les URL (comme l'insertion des liens d'affiliation). Toutefois, cela peut causer des add-ons qui manipulent le proxy de lien (comme pour montrer pages interstitiel) pour ne fonctionnent plus. Ils devront être mis à jour pour utiliser leur propre technique pour cela.
Certains des bogues corrigés dans 1.5.2 comprennent:
Ajouter une «zone calme» au code QR montré lors de l'activation de vérification en deux étapes via une application.
Assurez-vous que le spam vérification est exécuté lors de l'édition d'un titre de la discussion.
Ne pas AutoLink travers "[" pour éviter des problèmes quand une URL est entouré par quelque chose qui ressemble à un code BB.
En PHP 5.4+, décoder entités HTML5 lors de la conversion des liens vers les titres de page.
Veiller à ce que le rapport threads sont créés même si le contenu dépasse la longueur maximale d'un message.
Identifier correctement quelques modèles supplémentaires emails rebondi ou des demandes de défi.
Lors de l'envoi des messages (via conversations) aux utilisateurs, procédez autolinking seulement au début pour éviter de faire des pages inutiles les demandes de résolution de titre.
Modifiez les informations URL IPv6 à un service différent, plus complète.
Ajouter indication à diverses actions de l'utilisateur d'administration pour le rendre plus clair quand une action a été prise.
Voir les rapports de bugs Résolu forum pour plus d'informations.
Les modèles suivants ont eu des changements:
two_step_totp
xenforo.css
Le cas échéant, le système de fusion dans la page "Modèles obsolètes» devrait être utilisé pour intégrer ces changements.
S'il vous plaît noter que nous sommes désormais officiellement recommandons que vous passez à PHP 5.4 ou plus récent. Notre intention avec XenForo 2.0 est d'exiger PHP 5.4 ou plus récent. Si vous utilisez PHP 5.3 ou 5.2, vous recevrez un avertissement lors de l'installation ou la mise à niveau XenForo.
XenForo 1.5.2 Released
Includes Security Fix
Surtout, cette version inclut un correctif pour un problème de sécurité potentiel découvert par Miguel Ángel Jimeno (@ migueljimeno96). La question emploie une tactique connue sous le nom "Tabnabbing inverse" dans lequel un lien qui ouvre un nouvel onglet contient le code qui peut rediriger l'onglet d'origine vers une autre URL, qui pourrait être utilisé comme une tentative de phishing. Nous recommandons fortement à tous les clients suivent une des méthodes suivantes pour résoudre ce problème de sécurité.
Méthode 1: Mise à niveau vers la nouvelle version
Vous pouvez mettre à niveau vers XenForo 1.5.2 pour corriger ce problème. Vous devez mettre à jour comme vous le feriez pour toute autre version. Voir plus loin dans le présent communiqué pour plus de détails sur cette version.
Méthode 2: installer le correctif (pour 1,5 Utilisateurs)
Télécharger le fichier patch zip attaché à la fin de ce message. Il contient 2 fichiers:
js / XenForo / xenforo.js
JS / XenForo / full / xenforo.js
Ces 2 fichiers doivent être téléchargés sur votre serveur, en écrasant les fichiers existants du même nom.
Notez qu'avec ce procédé il n'y a aucune indication que la pastille vers l'extérieur a été appliquée. Nous vous recommandons de passer si possible.
Autres modifications dans 1.5.2
En plus de petites corrections de bugs, 1.5.2 change la façon dont le système fonctionne lien proxy. Il ne sera plus tenter de manipuler l'URL de la cible avant il est cliqué, au lieu d'utiliser une demande de fond ajax vous connecter clic quand il arrive. Cela améliore la précision à l'exploitation forestière, y compris l'exploitation forestière succès de détails qui étaient auparavant pas connectés, et réduit les interférences avec les systèmes qui changent dynamiquement les URL (comme l'insertion des liens d'affiliation). Toutefois, cela peut causer des add-ons qui manipulent le proxy de lien (comme pour montrer pages interstitiel) pour ne fonctionnent plus. Ils devront être mis à jour pour utiliser leur propre technique pour cela.
Certains des bogues corrigés dans 1.5.2 comprennent:
Ajouter une «zone calme» au code QR montré lors de l'activation de vérification en deux étapes via une application.
Assurez-vous que le spam vérification est exécuté lors de l'édition d'un titre de la discussion.
Ne pas AutoLink travers "[" pour éviter des problèmes quand une URL est entouré par quelque chose qui ressemble à un code BB.
En PHP 5.4+, décoder entités HTML5 lors de la conversion des liens vers les titres de page.
Veiller à ce que le rapport threads sont créés même si le contenu dépasse la longueur maximale d'un message.
Identifier correctement quelques modèles supplémentaires emails rebondi ou des demandes de défi.
Lors de l'envoi des messages (via conversations) aux utilisateurs, procédez autolinking seulement au début pour éviter de faire des pages inutiles les demandes de résolution de titre.
Modifiez les informations URL IPv6 à un service différent, plus complète.
Ajouter indication à diverses actions de l'utilisateur d'administration pour le rendre plus clair quand une action a été prise.
Voir les rapports de bugs Résolu forum pour plus d'informations.
Les modèles suivants ont eu des changements:
two_step_totp
xenforo.css
Le cas échéant, le système de fusion dans la page "Modèles obsolètes» devrait être utilisé pour intégrer ces changements.
S'il vous plaît noter que nous sommes désormais officiellement recommandons que vous passez à PHP 5.4 ou plus récent. Notre intention avec XenForo 2.0 est d'exiger PHP 5.4 ou plus récent. Si vous utilisez PHP 5.3 ou 5.2, vous recevrez un avertissement lors de l'installation ou la mise à niveau XenForo.
XenForo 1.5.2 Released
Vous n'avez pas la permission de voir le lien s'il vous plaît
Connexion ou S'inscrire
Includes Security Fix
Vous n'avez pas la permission de voir le lien s'il vous plaît
Connexion ou S'inscrire