XenForo 1.5.18 теперь доступен для скачивания. Мы рекомендуем всем пользователям, работающим с предыдущими версиями XenForo 1, обновиться до данной версии, чтобы повысить стабильность и безопасность работы форума.
Самое главное, что этот выпуск содержит исправление проблемы безопасности, о которой нам сообщил Julien из RCE Security. Проблема была обнаружена не в самом коде XF, она была в файле, который мы ранее включили в XF 1.5.x в библиотеке Video JS. Данная уязвимость известна как "аутентификационный фишинг", который включает публикацию специально созданного URL-адреса, указанного в файле SWF Video JS. Этот специально созданный URL-адрес при нажатии или вставке на страницу может содержать другой URL-адрес, который возвращает ответ 401 и выводит приглашение на проверку подлинности. Это приглашение проверки подлинности может обмануть менее опытных пользователей, считая, что именно Ваш сайт запрашивает аутентификацию, когда на самом деле введённые данные аутентификации могут быть отправлены злоумышленнику.
Эта проблема может потенциально затронуть пользователей XenForo 2.0, если Вы ранее обновлялись с XenForo 1.5. Причиной этого является то, что данный файл будет оставлен в Вашей файловой системе после обновления, если Вы не предприняли шаги для ручной или автоматической очистки старых файлов. Чтобы решить эту проблему как в XF 1.5, так и в XF 2.0, мы включаем файл с нулевым байтом, который перезапишет проблемный файл.
Мы настоятельно рекомендуем всем пользователям обновиться до последней версии XF 1.5 или XF 2.0, но если Вы не можете этого сделать, то Вы можете просто удалить файл, который находится по следующему пути:
Также потенциально имеется другой эксплойт в некоторых версиях браузера. Он связан с URL-адресом, указывающим на ресурс, например изображение, которое возвращает ответ 401. Это эксплойт исправляется большинством поставщиков браузеров. В настоящее время он исправлен в последнем стабильном выпуске Chrome и предстоящих версиях Safari и Firefox. Если Вас беспокоит этот эксплойт, то, пожалуйста, сообщите своим пользователям, что: а) они должны использовать последнюю доступную версию своего предпочтительного браузера и b), что данные для входа должны быть предоставлены только через форму входа в систему по умолчанию Вашего сайта.
Были изменены следующие шаблоны:
Самое главное, что этот выпуск содержит исправление проблемы безопасности, о которой нам сообщил Julien из RCE Security. Проблема была обнаружена не в самом коде XF, она была в файле, который мы ранее включили в XF 1.5.x в библиотеке Video JS. Данная уязвимость известна как "аутентификационный фишинг", который включает публикацию специально созданного URL-адреса, указанного в файле SWF Video JS. Этот специально созданный URL-адрес при нажатии или вставке на страницу может содержать другой URL-адрес, который возвращает ответ 401 и выводит приглашение на проверку подлинности. Это приглашение проверки подлинности может обмануть менее опытных пользователей, считая, что именно Ваш сайт запрашивает аутентификацию, когда на самом деле введённые данные аутентификации могут быть отправлены злоумышленнику.
Эта проблема может потенциально затронуть пользователей XenForo 2.0, если Вы ранее обновлялись с XenForo 1.5. Причиной этого является то, что данный файл будет оставлен в Вашей файловой системе после обновления, если Вы не предприняли шаги для ручной или автоматической очистки старых файлов. Чтобы решить эту проблему как в XF 1.5, так и в XF 2.0, мы включаем файл с нулевым байтом, который перезапишет проблемный файл.
Мы настоятельно рекомендуем всем пользователям обновиться до последней версии XF 1.5 или XF 2.0, но если Вы не можете этого сделать, то Вы можете просто удалить файл, который находится по следующему пути:
js/videojs/video-js.swf.Также потенциально имеется другой эксплойт в некоторых версиях браузера. Он связан с URL-адресом, указывающим на ресурс, например изображение, которое возвращает ответ 401. Это эксплойт исправляется большинством поставщиков браузеров. В настоящее время он исправлен в последнем стабильном выпуске Chrome и предстоящих версиях Safari и Firefox. Если Вас беспокоит этот эксплойт, то, пожалуйста, сообщите своим пользователям, что: а) они должны использовать последнюю доступную версию своего предпочтительного браузера и b), что данные для входа должны быть предоставлены только через форму входа в систему по умолчанию Вашего сайта.
- In some cases, a Solve Media CAPTCHA challenge would erroneously pass if the HTML was tampered with (such as via a spam bot).
- Better support for media embeds and user mentions in the IPS Forums 4.x importer.
- Fix for missing likes on import from XF to XF.
- Improve PHP 7.x compatibility in the SMF importer.
- Add rel="canonical" to the quick navigation template to avoid indexing duplicate content.
- Security: Disable use of js/videojs/video-js.swf and remove calling it from the template.
- Recommend users upgrade to PHP 5.6 or above when installing or upgrading.
Были изменены следующие шаблоны:
- quick_navigation_menu
- video_js_setup
![Lazy Load [img]](/data/resource_icons/6/6376.jpg?1556951675){kind=icon}
