۱۳۹۳/۹/۲۰، ۲۰:۳۶:۵۳ عصر
(آخرین ویرایش: ۱۳۹۴/۱۰/۷، ۰۳:۲۹:۳۶ صبح، توسط Mohammad-Za.)
نسخهی 1.8.3 MyBB از هماکنون در دسترس کاربران قرار گرفته است.
این بسته 1 آسیبپذیری امنیتی خطرناک، 2 آسیبپذیری با ریسک متوسط و 3 آسیبپذیری با ریسک پایین را برطرف میکند.
چه چیزی به این نسخه اضافه شده و یا تغییر کرده است؟
آسیبپذیریهای امنیتی این نسخه عبارتند از:
همچنین ما یک مشکل در MyCode مربوط به ویدئوها که در MyBB 1.8.2 (#1625) اضافه شد را برطرف نمودیم و همچنین به دلیل به خطر افتادن حساب کاربریمان در GitHub(#1617)، در سیاستهایمان در مورد اطلاعاتی که میتوانند از وبسایت ما دریافت شوند تجدید نظر کردیم.
بهعلاوهی موارد فوق، ما کوگیهای مربوط به کنترل پنل مدیرکل را به شکل httpOnly (#1622) تنظیم کردیم. همچنین درصدد آن هستیم که گزینههای مربوط به حفاظت از کنترل پنل مدیرکل را مانند وجود دو فاکتور برای ورود به کنترل پنل مدیرکل در نسخههای آتی توسعه دهیم
لطفاً توجه کنید که برای بهروزرسانی به نسخهی 1.8.3 MyBB، نیازی به اجرای بهروزرسان نیست.
همچنین تغییراتی که مربوط به بانک اطلاعاتی باشد، در این نسخه وجود ندارد.
بهروزرسانی از نسخهی 1.8.2 MyBB و سایر نسخهها
پیش از هرگونه اقدام، لطفاً از فایلها و بانک اطلاعاتی انجمن پشتیبانگیری کنید و فایلهای پشتیبان را در مکانی امن نگهداری کنید.
اگر فایلهای هستهی MyBB (از جمله فایلهای زبان) را تغییر دادهاید، لطفاً آن تغییرات را در جایی ثبت کنید تا بتوانید پس از بهروزرسانی نیز آنها را مجدداً اعمال نمایید (اگر نیاز باشد).
برای بهروزرسانی نیازی به اجرای بهروزرسان نیست. همچنین تغییری در فایلهای زبان و قالبها ایجاد نشده است.
بهروزرسانی از نسخهی 1.8.2 MyBB:
گزارش مشکلات MyBB
اگر فکر میکنید مشکل امنیتیای در MyBB یافتهاید، به شما توصیه میکنیم که تا زمانی که ما آن مشکل را برطرف نکردیم و وصلهی امنیتیای برای آن منتشر نکردیم، آن را به صورت عمومی در انجمن ما و یا هر جای دیگری منتشر نکنید.
و در پایان مانند همیشه شما میتوانید پیامهای شخصی و مشکلات امنیتی مرتبط با MyBB را از طریق وبسایت MyBB و صفحهی تماس با ما و یا در انجمن درخواستهای خصوصی ما مطرح کنید. چراکه در این انجمن تنها شما و مدیران میتوانید موضوعات ایجاد شدهتان را مشاهده کنید.
این بسته 1 آسیبپذیری امنیتی خطرناک، 2 آسیبپذیری با ریسک متوسط و 3 آسیبپذیری با ریسک پایین را برطرف میکند.
چه چیزی به این نسخه اضافه شده و یا تغییر کرده است؟
آسیبپذیریهای امنیتی این نسخه عبارتند از:
- ریسک بالا: آسیبپذیری SQL هنگام انتخاب پوسته (گزارش دهنده: StefanT)
- ریسک متوسط: آسیبپذیری XSS در فایل calendar.php (گزارش دهنده: -Acid)
- ریسک متوسط: آسیبپذیری XSS در ویرایشگر MyCode (گزارش دهنده: My-BB.Ir)
- ریسک پایین: آسیبپذیری XSS مربوط به آیکون ارسالها (گزارش دهنده: Destroy666)
- ریسک پایین: تابع unserialize ممکن است متدهای PHP magic را فراخوانی کند (گزارش دهنده: chtg)
- ریسک پایین: تنظیمات request_order در PHP میتواند register globals handling را دچار اخلال کند (گزارش دهنده: chtg)
همچنین ما یک مشکل در MyCode مربوط به ویدئوها که در MyBB 1.8.2 (#1625) اضافه شد را برطرف نمودیم و همچنین به دلیل به خطر افتادن حساب کاربریمان در GitHub(#1617)، در سیاستهایمان در مورد اطلاعاتی که میتوانند از وبسایت ما دریافت شوند تجدید نظر کردیم.
بهعلاوهی موارد فوق، ما کوگیهای مربوط به کنترل پنل مدیرکل را به شکل httpOnly (#1622) تنظیم کردیم. همچنین درصدد آن هستیم که گزینههای مربوط به حفاظت از کنترل پنل مدیرکل را مانند وجود دو فاکتور برای ورود به کنترل پنل مدیرکل در نسخههای آتی توسعه دهیم
لطفاً توجه کنید که برای بهروزرسانی به نسخهی 1.8.3 MyBB، نیازی به اجرای بهروزرسان نیست.
همچنین تغییراتی که مربوط به بانک اطلاعاتی باشد، در این نسخه وجود ندارد.
بهروزرسانی از نسخهی 1.8.2 MyBB و سایر نسخهها
پیش از هرگونه اقدام، لطفاً از فایلها و بانک اطلاعاتی انجمن پشتیبانگیری کنید و فایلهای پشتیبان را در مکانی امن نگهداری کنید.
اگر فایلهای هستهی MyBB (از جمله فایلهای زبان) را تغییر دادهاید، لطفاً آن تغییرات را در جایی ثبت کنید تا بتوانید پس از بهروزرسانی نیز آنها را مجدداً اعمال نمایید (اگر نیاز باشد).
برای بهروزرسانی نیازی به اجرای بهروزرسان نیست. همچنین تغییری در فایلهای زبان و قالبها ایجاد نشده است.
بهروزرسانی از نسخهی 1.8.2 MyBB:
- فایلهای تغییر یافته را دریافت کنید. [لینک دریافت فایلهای تغییر یافته]
- مطابق آموزش بهروزرسانی، به روزرسانی را انجام دهید. (نوع بهروزرسانی:بهروزرسانی خیلی جزیی) [لینک آموزش بهروزرسانی]
- بستهی کامل MyBB 1.8.3 را دریافت کنید. [لینک دریافت بستهی کامل 1.8.3 MyBB]
- مطابق آموزش بهروزرسانی، بهروزرسانی را انجام دهید. (نوع بهروزرسانی:بهروزرسانی کلّی) [لینک آموزش بهروزرسانی]
گزارش مشکلات MyBB
اگر فکر میکنید مشکل امنیتیای در MyBB یافتهاید، به شما توصیه میکنیم که تا زمانی که ما آن مشکل را برطرف نکردیم و وصلهی امنیتیای برای آن منتشر نکردیم، آن را به صورت عمومی در انجمن ما و یا هر جای دیگری منتشر نکنید.
و در پایان مانند همیشه شما میتوانید پیامهای شخصی و مشکلات امنیتی مرتبط با MyBB را از طریق وبسایت MyBB و صفحهی تماس با ما و یا در انجمن درخواستهای خصوصی ما مطرح کنید. چراکه در این انجمن تنها شما و مدیران میتوانید موضوعات ایجاد شدهتان را مشاهده کنید.