DJVOKA

Создатель
#1


XenForo 1.5.18 теперь доступен для скачивания. Мы рекомендуем всем пользователям, работающим с предыдущими версиями XenForo 1, обновиться до данной версии, чтобы повысить стабильность и безопасность работы форума.

Самое главное, что этот выпуск содержит исправление проблемы безопасности, о которой нам сообщил Julien из RCE Security. Проблема была обнаружена не в самом коде XF, она была в файле, который мы ранее включили в XF 1.5.x в библиотеке Video JS. Данная уязвимость известна как "аутентификационный фишинг", который включает публикацию специально созданного URL-адреса, указанного в файле SWF Video JS. Этот специально созданный URL-адрес при нажатии или вставке на страницу может содержать другой URL-адрес, который возвращает ответ 401 и выводит приглашение на проверку подлинности. Это приглашение проверки подлинности может обмануть менее опытных пользователей, считая, что именно Ваш сайт запрашивает аутентификацию, когда на самом деле введённые данные аутентификации могут быть отправлены злоумышленнику.

Эта проблема может потенциально затронуть пользователей XenForo 2.0, если Вы ранее обновлялись с XenForo 1.5. Причиной этого является то, что данный файл будет оставлен в Вашей файловой системе после обновления, если Вы не предприняли шаги для ручной или автоматической очистки старых файлов. Чтобы решить эту проблему как в XF 1.5, так и в XF 2.0, мы включаем файл с нулевым байтом, который перезапишет проблемный файл.

Мы настоятельно рекомендуем всем пользователям обновиться до последней версии XF 1.5 или XF 2.0, но если Вы не можете этого сделать, то Вы можете просто удалить файл, который находится по следующему пути: js/videojs/video-js.swf.

Также потенциально имеется другой эксплойт в некоторых версиях браузера. Он связан с URL-адресом, указывающим на ресурс, например изображение, которое возвращает ответ 401. Это эксплойт исправляется большинством поставщиков браузеров. В настоящее время он исправлен в последнем стабильном выпуске Chrome и предстоящих версиях Safari и Firefox. Если Вас беспокоит этот эксплойт, то, пожалуйста, сообщите своим пользователям, что: а) они должны использовать последнюю доступную версию своего предпочтительного браузера и b), что данные для входа должны быть предоставлены только через форму входа в систему по умолчанию Вашего сайта.

Были изменены следующие шаблоны:
  • quick_navigation_menu
  • video_js_setup
СКАЧАТЬ
 

Вложения

Последнее редактирование:
Вверх