В данном релизе устранены две уязвимости, посему обновление строго рекомендуется всем пользователям.
Были изменены следующие шаблоны:
bb_code_tag_spoiler.html
form.css
member_view
message
В этот релиз включены два исправления безопасности, о которых сообщил Julien Ahrens. Мы уверены, что эти ошибки не критичны и крайне маловероятно что они могут быть эксплуатированы злоумышленниками, но тем не менее мы включаем их в 1.5.8, а не в виде отдельного патча для более старых версий. Найденные проблемы:
Уязвимость при загрузке изображений в SWFUpload. Она может позволить пользователям подделать загрузку изображений таким образом, что движок будет считать что изображение загружается с вашего домена, а не внешнего.
Связанная с предыдущей ошибкой XSS-уязвимость, которая может быть использована при формировании специального заголовка загружаемого вложения. Эта ошибка может быть использована только пользователями, при загрузке вложений содержащих в заголовке символы запрещенные в Windows. XSS может позволить злоумышленникам получить данные пользователей или совершать различные действия без их ведома.
Еще раз спасибо Julien за сообщение о наличии этих уязвимостей.
Прочие исправления и улучшения, включенные в 1.5.8:
Проверка ограничений на длину сообщений в личных переписках.
Очистка симпатий в профиле пользователя при удалении сообщения, к которому они были оставлены.
Логирование IP при создании сессии с включенной опцией "запомнить меня" в cookie.
Исправлена ошибка, при которой вставленный в редактор текст мог иметь некорректно усеченные пробелы.
При обновлении дополнений проводится проверка что кеш связанных с ними JS файлов был корректно обновлен.
Разрешены жалобы на сообщения которые были удалены, а затем восстановлены.
Только формы ввода текста могут быть вертикально расширены пользователем по-умолчанию.
Попытка принудительного TLSv1 соединения с PayPal при не ясной поддержке TLS 1.2.
Исправлен текст у сообщений от IPN-коллбэков PayPal в журнале транзакцией.
Возможность расширения PayPal IPN при помощи дополнений.
Исправлена ошибка при которой вставка спойлера в редакторе могла сбить текущее выделение текста в нем.
Исправлена ошибка при которой было нельзя отправить сообщение со спойлером, если jаvascript не функционировал корректно.
Удалена полоса прокрутки у второго (и последующих) окон lightbox создаваемых на странице.
Исправлена ошибка, при которой пользователи, импортированные с IPB не могли авторизоваться из-за специальных символов, содержащихся в их паролях.
Учтена возможность отключения пользовательских BB-кодов при разборе сообщения редактором BB-кодов.
Русификация для XenForo Resource Manager
Перед установкой русификатора рекомендуется сделать на всякий случай резервную копию базы данных форума.
« Апрель 2024 » | ||||||
---|---|---|---|---|---|---|
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Комментарии
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.