ورود

**Mohammad-Za**

نسخه‌ی MyBB 1.6.11 حدود 10 روز پیش منتشر شد. اما به علت مشکلاتی که برای من به وجود آمده‌است، نتوانستم این نسخه را در زمان مناسب برای کاربران معرفی کنم.

وصله‌های امنیتی مهم
یکی از کاربران به نام Philly به ما گزارش داد که یک کاربر توانسته است در هنگام ثبت‌نام برای نام کاربری خود از سه حرف emoji(حروف ویژه) استفاده کند که این امر موجب شده‌است که آن کاربر پس از ثبت نام، جزء گروه کاربری ثبت نام نشده قرار گیرد. پس از بررسی این موضوع، ما به این پی بردیم که این مسئله، خیلی پیچیده‌تر از آن چیزی است که فکر می‌کنیم.

بررسی فنی این موضوع به این صورت است که عملکرد MYSQL برای UTF-8، تنها حروفی که حداکثر 3 بایت هستند را پشتیبانی می‌کند. درنتیجه هنگامی که شخصی بخواهد یک رشته‌ی 4 بایتی با فرمت utf8 را به دیتابیس اضافه کند، MYSQL بلافاصله، رشته را قبل از حرف 4 بایتی قطع می‌کند[و در نتیجه، رشته به صورت ناقص به دیتابیس اضافه می‌شود]. این نه تنها باعث به وجود آمدن مشکلات امنیتی می‌شود، بلکه بر استفاده‌ی کاربر از انجمن نیز تأثیر منفی می‌گذارد به این صورت که ممکن است نصف پست‌ها و پیام‌های خصوصی کاربر بدون این‌که دلیل آن‌را متوجه شود، حذف شود.

این مشکل هنگامی که یک شخص برای ثبت‌نام تنها از حروف 4 بایتی با فرمت UTF8 به عنوان نام کاربری خود استفاده کرده‌بود، خود را نشان داد. به این‌صورت که همان‌طور که قبلاً گفته شد، MYSQL رشته را پیش از اولین حرف 4 بایتی قطع می‌کند[و چون اوّلین حرف نام کاربری 4 بایتی بوده‌است] ستون مربوط به نام کاربری، به صورت خالی به دیتابیس اضافه شده‌است.
هنگامی که یک کاربر یک پیام خصوصی را برای کاربر دیگری ارسال می‌کند، ممکن است به صورت خودکار به کاربر بدون نام ارسال شود و او بتواند آن پیام خصوصی را بخواند.

این مشکل امنیتی، تنها دیتابیس‌های MYSQL و با فرمت utf8_general_ci [که انجمن‌های پارسی زبان هم از این فرمت استفاده می‌کنند] را تحت تأثیر قرار می‌دهد.(این مشکل ممکن است برای فرمت utf8_unicode_ci هم به وجود آید).
بنابراین، افرادی که از دیتابیس‌های SQLite یا PostgreSQL استفاده می‌کنند، تحت تأثیر این مشکل قرار نخواهند گرفت.

چه قابلیتی به نسخه‌ی 1.6.11 اضافه شده است یا چه چیزی در آن تغییر کرده است؟
در این نسخه، 5 آسیب‌پذیری امنیتی و بیش از 65 مشکل گزارش شده که باعث ایجاد تداخل برای عملکرد درست انجمن می‌شود، برطرف شده است. توجه کنید که به دلیل مقدور شدن ارائه‌ی بسته‌های به‌روزرسانی قابل کنترل، در این نسخه، تمامی مشکلات MyBB برطرف نشده‌ است!

آسیب پذیری‌های برطرف شده:

(خطر زیاد) مشکل امنیتی رد کردن بخش بررسی مجوز(Authorization bypass) ارسال در بخش پیام‌های خصوصی (گزارش شده توسط: Philly)
(خطر متوسط) حساب‌های کاربری بدون کلید ورود (Login Key) ممکن است ربوده شوند (گزارش شده توسط: StefanT)
(خطر کم) ضعف در تابع generate_post_check() (گزارش شده توسط: Nathan Malcolm)
(خطر کم) آمارهای ناشناس، ممکن است همیشه ناشناس نباشند (گزارش شده توسط: Nathan Malcolm)
(خطر کم) پشتیبان‌گیری از دیتابیس، در بخش کارهای انجام شده‌ی مدیر نمایش داده می‌شود (گزارش شده توسط: Nathan Malcolm)

جهت مشاهده‌ی جزییات تغییرات در این نسخه، به صفحه‌ی مستندات تغییرات در نسخه‌ها مراجعه کنید.

به روزرسانی از نسخه‌ی 1.6.10 و سایر نسخه ها
پیش از هر کاری انجمن خود را بسته و از دیتابیس خود و همین طور فایل های خود در یک محل امن، پشتیبان‌گیری کنید.
اگر فایل های هسته را تغییر داده اید، لطفاً آن‌ها را ثبت کنید سپس بعد از به‌روزرسانی میتوانید آن تغییرات را دوباره اعمال کنید.
اگر پلاگینی نصب کرده اید که برای عمل کردن نیازمند تغییرات در فایل‌های هسته است ، پس از به روزرسانی باید آن تغییرات را دوباره اعمال کنید.

برای به‌روز‌رسانی، اجرای به‌روز‌رسان، الزامی می‌باشد. همچنین تغییراتی در 4 مورد از فایل‌های زبان و 5 تغییر در قالب‌ها ایجاد شده است.

اگر از MyBB 1.6.10 استفاده می‌کنید:

فایل های تغییر یافته را دریافت کنید (لینک دریافت)
آخرین نسخه‌ی پارسی ساز را دریافت کنید (لینک دریافت)
سپس طبق آموزش، به‌روزرسانی را انجام دهید (لینک آموزش)

اگر از MyBB 1.6.10 استفاده نمی کنید:

بسته‌ی کامل پارسی MyBB 1.6.11 را دریافت کنید (لینک دریافت)
سپس طبق آموزش، به‌روزرسانی را انجام دهید (لینک آموزش)

آسیب‌پذیری MyBB 1.6.11
درصورتی که فکر می‌کنید آسیب‌پذیری امنیتی‌ای در MyBB یافته اید٬ از انتشار آن خودداری کرده و آن را به ما گزارش دهید (لینک گزارش).
همچنین می توانید این مشکلات را در بخش Private Inquiries انجمن مطرح کنید چرا که در این انجمن، تنها مدیران و خودتان می‌توانید ارسال‌هایتان را ببینید.

با سپاس
تیم MyBB

nokte · ۱۳۹۲/۷/۲۶، ۱۹:۲۵:۱۳ عصر

سلام
آقا این قالب من پس از نصب ورژن 1.6.11 به کلی به هم ریخته
مثل اینکه استایلش اصلا لود نمیشه
نمیدونم چی شده
هیچی جای خودش نیست !!
مشکل از کجاست؟
پنل مدیریت درسته
قالب خود سایت خرابه

**Mohammad-Za**

(۱۳۹۲/۷/۲۶، ۱۹:۲۵:۱۳ عصر)nokte نوشته است: سلام
آقا این قالب من پس از نصب ورژن 1.6.11 به کلی به هم ریخته
مثل اینکه استایلش اصلا لود نمیشه
نمیدونم چی شده
هیچی جای خودش نیست !!
مشکل از کجاست؟
پنل مدیریت درسته
قالب خود سایت خرابه

1- مسیر پوشه‌ی themes واقع در مسیر cache را به کل حذف کنید.
2- یک پوشه‌ی جدید با همان نام themes در همان مسیر cache ایجاد کنید.
3- دسترسی این پوشه را بر روی 777 قرار دهید.
4- به: کنترل پنل مدیرکل »» قالب‌ها و پوسته‌ها »» پوسته‌ها »» پوسته‌ی مورد نظر »» global.css »» ویرایش در حالت پیشرفته »» ذخیره و بستن
رفته و پس از ذخیره و بستن، انجمنتان را بررسی کنید (ترجیحاً انجمن را با CTRL+F5 باز کنید). باید مشکل برطرف شده باشد.

nokte · ۱۳۹۲/۷/۲۶، ۱۹:۵۵:۳۳ عصر

مشکلم حل شد
قالب را یک بار اکسپورت گرفتم و دوباره اینپورت کردم درست شد
به دوستان پیشنهاد می کنم قبل از به روز رسانی یک بار از قالب خود اکسپورت بگیرند تا اگر دچار مشکل شدند مجبور به اینپورت کل دیتابیس نباشه

reza.t.gh · ۱۳۹۲/۷/۲۶، ۲۰:۱۸:۵۵ عصر

این با این تفاوتی نداره؟
http://community.mybbiran.com/thread-151...tpost.html

**Rezakashefi** · ۱۳۹۲/۷/۲۷، ۰۱:۰۴:۳۸ صبح

نقل‌قول: این با این تفاوتی نداره؟
http://community.mybbiran.com/thread-151...tpost.html

موضوع مورد نظر وجود ندارد.

به همين راحتي رضا جان !

**Mohammad-Za** · ۱۳۹۲/۷/۲۷، ۰۲:۰۴:۰۲ صبح

(۱۳۹۲/۷/۲۶، ۲۰:۱۸:۵۵ عصر)reza.t.gh نوشته است: این با این تفاوتی نداره؟
http://community.mybbiran.com/thread-151...tpost.html

من فایل‌هایی که در ارسال مذکور قرار داده‌شده است را بررسی نکردم.
من تنها می‌توانم این تاپیک را تأیید کنم.

reza.t.gh · ۱۳۹۲/۷/۲۷، ۱۳:۲۸:۳۳ عصر

(۱۳۹۲/۷/۲۷، ۰۱:۰۴:۳۸ صبح)ch2012 نوشته است:
نقل‌قول: این با این تفاوتی نداره؟
http://community.mybbiran.com/thread-151...tpost.html

موضوع مورد نظر وجود ندارد.

به همین راحتی رضا جان !

هستش که...

emir.yanliz · ۱۳۹۲/۷/۲۸، ۲۳:۲۶:۲۶ عصر

با سلام و خسته نباشید
بعد از به روز رسانی دکمه نقل قول چند گانه برام کار نمی کنه(تو پاسخ سریع)
وقتی روش کلیک می کنم

عبارت
شما 1 یا چند ارسال را برای نقل قول انتخاب کرده‌اید. نقل قول این ارسال‌ها یا عدم انتخاب آن‌ها.
زیر ادیتور ظاهر میشه ولی وقتی روی نقل قول ارسال کلیک می کنم چیزی داخل ادیتور اضافه نمیشه

ممنون میشم راهنمایی بفرمایید

gentelman · ۱۳۹۲/۷/۲۹، ۱۹:۱۷:۵۰ عصر

فعلا بهتره تا دو ماهی صبر کنیم همه مشکلاتش مشخص بشه بعد نصب کنیم.. Big Grin

ورود
نام کاربری:
گذرواژه‌:	گذرواژه‌تان را فراموش کرده‌اید؟
	مرا به‌خاطر بسپار

موضوع‌های مشابه…
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	انتشار نسخه‌ی 1.6.15 MyBB	Pars	26	17,162	۱۳۹۳/۱۱/۲۴، ۲۲:۳۹:۰۸ عصر آخرین ارسال: smemamian
	انتشار نسخه‌ی 1.6.16 MyBB	Mohammad-Za	0	1,680	۱۳۹۳/۱۰/۱۵، ۲۰:۲۳:۲۱ عصر آخرین ارسال: Mohammad-Za
	انتشار نسخه‌ی 1.6.12 MyBB	Amin Yaghubi	45	31,314	۱۳۹۳/۱۰/۱۴، ۰۷:۴۳:۱۳ صبح آخرین ارسال: firstboy000
	انتشار نسخه‌ی 1.6.14 MyBB	Mohammad-Za	34	26,085	۱۳۹۳/۶/۲۴، ۱۲:۵۸:۵۷ عصر آخرین ارسال: firstboy000
	انتشار نسخه‌ی 1.6.13 MyBB	Mohammad-Za	54	51,568	۱۳۹۳/۶/۳، ۱۱:۱۱:۳۸ صبح آخرین ارسال: firstboy000
	انتشار نسخه‌ی 1.6.10 MyBB	Mohammad-Za	66	41,833	۱۳۹۲/۷/۲۵، ۱۱:۴۹:۳۱ صبح آخرین ارسال: Rezakashefi
	انتشار نسخه‌ی 1.6.9 MyBB	Mohammad-Za	155	94,461	۱۳۹۲/۷/۱۲، ۱۰:۲۵:۳۱ صبح آخرین ارسال: Amin Yaghubi
	انتشار نسخه‌ی MyBB 1.6.3	Pars	46	55,017	۱۳۹۲/۲/۵، ۱۵:۴۱:۱۳ عصر آخرین ارسال: Saizou
	انتشار نسخه‌ی MyBB 1.6.7 + معرفی MyBB 1.8	Mohammad-Za	31	29,745	۱۳۹۱/۹/۱۷، ۱۴:۳۸:۳۵ عصر آخرین ارسال: lab
	انتشار نسخه‌ی 1.6.8 MyBB	Mohammad-Za	101	78,611	۱۳۹۱/۹/۱۳، ۱۲:۰۲:۳۷ عصر آخرین ارسال: hashemihesam