dave
Członek ekipy
W dniu dzisiejszym opublikowano łatkę dla niedawno odkrytej luki bezpieczeństwa, która dotyczy potencjalnego ataku typu cross-site request forgery (CSRF) oraz wstrzykiwania kodu, co może prowadzić do zdalnego wykonania kodu (RCE) lub cross-site scripting (XSS).
Twórcy XenForo zalecają pilną aktualizację forów do 2.1.15 lub 2.2.16, które pojawiły się w panelu klienta. Aktualizacja do jednej z tej wersji stanowi rozwiązanie tej luki. Jeśli nie chcesz lub nie możesz dokonać pełnej aktualizacji, możesz chcieć zastosować łatkę ręcznie, o czym niżej. Klienci usługi XenForo Cloud nie muszą podejmować żadnych akcji. Fora w tej usłudze zostaną zaktualizowane automatycznie.
Instalacja łatki:
1. Na serwerze z XenForo odszukaj i otwórz plik
2. Zlokalizuj następujący kod:
3. Cały powyższy kod zastąp kodem widniejącym poniżej (tak, dokładnie, jedną linię zastępujesz wieloma innymi):
Zmiany zapisujemy i przechodzimy dalej.
Uwaga: Gdyby ktoś się zastanawiał - powyższy kod nie jest możliwy do poddania automatycznej aktualizacji, ponieważ zawiera dane instalacji specyficzne dla forum.
4. Następnie przechodzimy na stronę:
i pobieramy z załącznika plik odpowiedni dla naszego forum. Plik 2115-patch.zip dedykowany jest XenForo 2.1 zaś 2216-patch.zip XeneForo 2.2. Po pobraniu wybranego pliku, wypakuj jego zawartość i przenieś ją do głównego katalogu zawierającego pliki Twojego forum.
Podobna poprawka dotyczy również rozszerzenia XenForo Media Gallery (XFMG) odpowiednio w wersji 2.1 oraz 2.2. W tym samym wątku (link powyżej) pobieramy odpowiednią dla nas wersję, archiwum rozpakowujemy, a jego zawartość przesyłamy do głównego katalogu Twojego forum.
Jeśli po ręcznym zastosowaniu poprawki, opcja "sprawdzanie spójności plików" zwróci błąd o niespójnej/nieoczekiwanej zawartości plików, komunikat ten można jak najbardziej zignorować. Dzieje się tak, ponieważ w momencie wydania konkretnej wersji XenForo, próba dokonania jakiejkolwiek późniejszej ingerencji w kod oprogramowania, zostanie uznana jako naruszenie spójności plików, co w tym wypadku jest oczywiste i bezpieczne. Komunikat ten po aktualizacji całego XenForo do nowszej wersji nie będzie widoczny.
Twórcy XenForo zalecają pilną aktualizację forów do 2.1.15 lub 2.2.16, które pojawiły się w panelu klienta. Aktualizacja do jednej z tej wersji stanowi rozwiązanie tej luki. Jeśli nie chcesz lub nie możesz dokonać pełnej aktualizacji, możesz chcieć zastosować łatkę ręcznie, o czym niżej. Klienci usługi XenForo Cloud nie muszą podejmować żadnych akcji. Fora w tej usłudze zostaną zaktualizowane automatycznie.
Instalacja łatki:
1. Na serwerze z XenForo odszukaj i otwórz plik
src/XF.php
2. Zlokalizuj następujący kod:
PHP:
$parts = explode(':', $string, 3);
3. Cały powyższy kod zastąp kodem widniejącym poniżej (tak, dokładnie, jedną linię zastępujesz wieloma innymi):
PHP:
if (!$string) return '';
if (strpos($string, ':') === false)
{
$pattern = '#^\\\?'
. str_replace('%s', '([A-Za-z0-9_\\\]+)', preg_quote(ltrim($formatter, '\\')))
. '$#';
if (!preg_match($pattern, $string, $matches))
{
throw new \InvalidArgumentException(sprintf(
'Class %s does not match formatter pattern %s',
$string,
$formatter
));
}
// already a class
return $string;
}
$parts = explode(':', $string, 3);
Zmiany zapisujemy i przechodzimy dalej.
Uwaga: Gdyby ktoś się zastanawiał - powyższy kod nie jest możliwy do poddania automatycznej aktualizacji, ponieważ zawiera dane instalacji specyficzne dla forum.
4. Następnie przechodzimy na stronę:
XenForo 2.1.15 Patch 1, 2.2.16 Patch 2 and XenForo Media Gallery 2.1.9, 2.2.6 Released (Includes Security Fixes)
Security Fix Today we are advising all customers running XenForo that a potential security vulnerability has been identified. All affected customers should either upgrade to XenForo 2.1.15 or XenForo 2.2.16. If you are a XenForo Cloud customer, a fix has been rolled out automatically, and no...
xenforo.com
i pobieramy z załącznika plik odpowiedni dla naszego forum. Plik 2115-patch.zip dedykowany jest XenForo 2.1 zaś 2216-patch.zip XeneForo 2.2. Po pobraniu wybranego pliku, wypakuj jego zawartość i przenieś ją do głównego katalogu zawierającego pliki Twojego forum.
Podobna poprawka dotyczy również rozszerzenia XenForo Media Gallery (XFMG) odpowiednio w wersji 2.1 oraz 2.2. W tym samym wątku (link powyżej) pobieramy odpowiednią dla nas wersję, archiwum rozpakowujemy, a jego zawartość przesyłamy do głównego katalogu Twojego forum.
Jeśli po ręcznym zastosowaniu poprawki, opcja "sprawdzanie spójności plików" zwróci błąd o niespójnej/nieoczekiwanej zawartości plików, komunikat ten można jak najbardziej zignorować. Dzieje się tak, ponieważ w momencie wydania konkretnej wersji XenForo, próba dokonania jakiejkolwiek późniejszej ingerencji w kod oprogramowania, zostanie uznana jako naruszenie spójności plików, co w tym wypadku jest oczywiste i bezpieczne. Komunikat ten po aktualizacji całego XenForo do nowszej wersji nie będzie widoczny.
Ostatnia edycja: