XenForo 2.1.15, 2.2.16 oraz XFMG (poprawki bezpieczeństwa, ważne!)

dave

Członek ekipy
W dniu dzisiejszym opublikowano łatkę dla niedawno odkrytej luki bezpieczeństwa, która dotyczy potencjalnego ataku typu cross-site request forgery (CSRF) oraz wstrzykiwania kodu, co może prowadzić do zdalnego wykonania kodu (RCE) lub cross-site scripting (XSS).

Twórcy XenForo zalecają pilną aktualizację forów do 2.1.15 lub 2.2.16, które pojawiły się w panelu klienta. Aktualizacja do jednej z tej wersji stanowi rozwiązanie tej luki. Jeśli nie chcesz lub nie możesz dokonać pełnej aktualizacji, możesz chcieć zastosować łatkę ręcznie, o czym niżej. Klienci usługi XenForo Cloud nie muszą podejmować żadnych akcji. Fora w tej usłudze zostaną zaktualizowane automatycznie.

Instalacja łatki:

1. Na serwerze z XenForo odszukaj i otwórz plik src/XF.php
2. Zlokalizuj następujący kod:
PHP:
$parts = explode(':', $string, 3);

3. Cały powyższy kod zastąp kodem widniejącym poniżej (tak, dokładnie, jedną linię zastępujesz wieloma innymi):
PHP:
        if (!$string) return '';

        if (strpos($string, ':') === false)
        {
            $pattern = '#^\\\?'
                . str_replace('%s', '([A-Za-z0-9_\\\]+)', preg_quote(ltrim($formatter, '\\')))
                . '$#';
            if (!preg_match($pattern, $string, $matches))
            {
                throw new \InvalidArgumentException(sprintf(
                    'Class %s does not match formatter pattern %s',
                    $string,
                    $formatter
                ));
            }

            // already a class
            return $string;
        }

        $parts = explode(':', $string, 3);

Zmiany zapisujemy i przechodzimy dalej.

Uwaga: Gdyby ktoś się zastanawiał - powyższy kod nie jest możliwy do poddania automatycznej aktualizacji, ponieważ zawiera dane instalacji specyficzne dla forum.

4. Następnie przechodzimy na stronę:


i pobieramy z załącznika plik odpowiedni dla naszego forum. Plik 2115-patch.zip dedykowany jest XenForo 2.1 zaś 2216-patch.zip XeneForo 2.2. Po pobraniu wybranego pliku, wypakuj jego zawartość i przenieś ją do głównego katalogu zawierającego pliki Twojego forum.

Podobna poprawka dotyczy również rozszerzenia XenForo Media Gallery (XFMG) odpowiednio w wersji 2.1 oraz 2.2. W tym samym wątku (link powyżej) pobieramy odpowiednią dla nas wersję, archiwum rozpakowujemy, a jego zawartość przesyłamy do głównego katalogu Twojego forum.

Jeśli po ręcznym zastosowaniu poprawki, opcja "sprawdzanie spójności plików" zwróci błąd o niespójnej/nieoczekiwanej zawartości plików, komunikat ten można jak najbardziej zignorować. Dzieje się tak, ponieważ w momencie wydania konkretnej wersji XenForo, próba dokonania jakiejkolwiek późniejszej ingerencji w kod oprogramowania, zostanie uznana jako naruszenie spójności plików, co w tym wypadku jest oczywiste i bezpieczne. Komunikat ten po aktualizacji całego XenForo do nowszej wersji nie będzie widoczny.
 
Ostatnia edycja:

Grzegorz

Użytkownik
Wiecie co po aktualizacji w panelu admina mam błąd plików


XenForo
src/XF.php Nieoczekiwana zawartość
src/XF/Admin/Controller/AbstractNode.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Advertising.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Node.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Permission.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Widget.php Nieoczekiwana zawartość

Przejmować się tym mam czy dobrze wszystko jest?
 

Oksiak

Użytkownik
Wiecie co po aktualizacji w panelu admina mam błąd plików


XenForo
src/XF.php Nieoczekiwana zawartość
src/XF/Admin/Controller/AbstractNode.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Advertising.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Node.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Permission.php Nieoczekiwana zawartość
src/XF/Admin/Controller/Widget.php Nieoczekiwana zawartość

Przejmować się tym mam czy dobrze wszystko jest?
Wczoraj wyszła nowa aktualizacja XenForo 2.2.16 Patch 2, u mnie brak błędów.
Zaktualizuj do nowej wersji.
 

dave

Członek ekipy
Wiecie co po aktualizacji w panelu admina mam błąd plików

A jak aktualizowałeś? Ręcznie czy automatycznie? Obstawiam, że ręcznie i możesz zignorować, o czym wspominałem na końcu pierwszego posta.

Jeśli po ręcznym zastosowaniu poprawki, opcja "sprawdzanie spójności plików" zwróci błąd o niespójnej/nieoczekiwanej zawartości plików, komunikat ten można jak najbardziej zignorować. Dzieje się tak, ponieważ w momencie wydania konkretnej wersji XenForo, próba dokonania jakiejkolwiek późniejszej ingerencji w kod oprogramowania, zostanie uznana jako naruszenie spójności plików, co w tym wypadku jest oczywiste i bezpieczne. Komunikat ten po aktualizacji całego XenForo do nowszej wersji nie będzie widoczny.
 

Grzegorz

Użytkownik
@dave ręcznie przeprowadziłem aktualizacje. Pisałem też dlatego bo jak zmieniłem logo forum to też wywalało mi błędy i mimo zmiany nie pokazywało nowego logo
 

dave

Członek ekipy
Wszystko zależy od tego w jaki sposób zmieniłeś logo bo możliwości jest wiele. Ale to już jest post na inny temat 😉
 
Powrót
Góra