رسالة إدارية

إختر لون صفحتك:

.: مجموعة الصياد العربية :.  

اللهم أسألك يا ودود يا ذا العرش المجيد أسألك بنور وجهك الذي ملأ أركانه العرش أسألك بقدرتك التي قدرت بها
على كل خلقك وبرحمتك التي وسعت كل شيئ لا إله إلا أنت انصر إخواننا في غزه ووحد صفهم واجمع شملهم
واجعلهم كالبنيان المرصوص يشد بعضهم بعضا اللهم أعزهم بعزك يا من لا مذل لمن تعز و انصرهم على من عاداهم وأعلو رايتهم


التسجيل مجاني
سجلاتنا تفيد بأنك غير مسجّل ,, يرجى التسجيل

:إسم العضو :كلمة السر :تأكيد كلمة السر :البريد الإلكتروني :تأكيد البريد الإلكتروني
تاريخ ميلادك      
سؤال عشوائي
  هل انت موافق؟ قوانين المنتدى 


العودة   .: مجموعة الصياد العربية :. > :: قسم تطوير الـ vBulletin :: > بند ثـغـرات الـنـسـخـه الـثـالـثــــــه

بند ثـغـرات الـنـسـخـه الـثـالـثــــــه لجميع النسخ التاليه :[vB3.8.0] + [vB3.7.0] + [vB3.6.0] + [vB3.5.0] + [vB3.0.0] : هذا البند لايقبل إضافة أي مشاركه .

ترقيع pl1 للنسخة 3.7.4

بند ثـغـرات الـنـسـخـه الـثـالـثــــــه


رد
 
LinkBack أدوات الموضوع طرق مشاهدة الموضوع
قديم 11-21-2008, 08:28 PM   #1
(مسؤول التغذيات )
 
تاريخ التسجيل: Oct 2008
المشاركات: 7,104
معدل تقييم المستوى: 365
Rss2 يستحق التمييز
افتراضي ترقيع pl1 للنسخة 3.7.4

بسم الله الرحمن الرحيم

هذا الترقيع يخص النسخة 3.7.4 وقد أعلنت الشركة اليوم صباحاً 21/11/2008 عن وجود ثغرة XSS
في لوحة تحكم العضو تخول الهاكر بالدخول لحسابات الأعضاء أو التعديل في بياناتهم..


المصدر:
[عزيزي الزائر يتوجب عليك التسجيل للمشاهدة الرابطللتسجيل اضغط هنا]

رابط ذا صلة:
[عزيزي الزائر يتوجب عليك التسجيل للمشاهدة الرابطللتسجيل اضغط هنا]

الترقيع :
1- للأعضاء المرخصين توجه إلى الرابط التالي وقم بتحميل الباتش:
[عزيزي الزائر يتوجب عليك التسجيل للمشاهدة الرابطللتسجيل اضغط هنا]

2- للأعضاء الغير مرخصين بإمكانك التعديل على الملفات المصابة:
ملف واحد فقط وهو usercp.php افتح الملف بأي برنامج تحرير وابحث عن:

رمز PHP:
$visitormessage['summary'] = fetch_word_wrapped_string(fetch_censored_****(fetch_trimmed_title(strip_bbcode($visitormessage['page****'], true, true), 50)));


استبدلها بـ:

رمز PHP:
$visitormessage['summary'] = htmlspecialchars_uni(fetch_word_wrapped_string(fetch_censored_****(fetch_trimmed_title(strip_bbcode($visitormessage['page****'], true, true), 50))));



للإفادة فقط التغيير الذي تم أنه أضيف htmlspecialchars_uni طبعاً هذه الـfunction تقوم بمنع المستخدم من استخدام الحروف الخاصة المتفق عليها دولياً مثل علامات التنصيص والأحرف مثل & والمسافة وما شابه .. وتقوم بتحويلها إلى & | " | ' ... إلخ أما uni فهو نوع جديد أكثر أمان تم إضافته للــfunction .. :)


لتغيير رقم النسخ استبدل كامل محتويات الملف includes/version_vbulletin.php بـ:

رمز PHP:



مع تمنياتي لكم بالتوفيق
أخوكم الصغير العُبد


دمتم بود
__________________
نسعى للرقي بالمعهد
Rss2 غير متواجد حالياً  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!
رد مع اقتباس
رد

مواقع النشر


الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)
 
أدوات الموضوع
طرق مشاهدة الموضوع

تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة
الانتقال السريع إلى


الساعة معتمدة بتوقيت جرينتش +3 , الساعة الآن :02:19 AM .


Powered by vBulletin® Version 3.7.4
Copyright ©2000 - 2009, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0