XenForo 2.3.9 & 2.2.18 Released (Vá lỗi bảo mật)

thahtrung06 · Lúc 14:48:45 Hôm qua

XenForo 2.3.9 được phát hành

Hôm nay chúng tôi phát hành XenForo 2.3.9 nhằm khắc phục một số lỗ hổng bảo mật tiềm ẩn vừa được báo cáo cho chúng tôi. Phiên bản này chỉ bao gồm các bản vá bảo mật; mọi bản sửa lỗi khác mà trước đây chúng tôi nói sẽ có trong 2.3.9 nay đã được dời sang phiên bản 2.3.10.

Phiên bản này hiện đã có sẵn để tất cả khách hàng có giấy phép hợp lệ tải về. Chúng tôi khuyến nghị mạnh mẽ tất cả khách hàng đang chạy các phiên bản XenForo 2.3 trước đó nên nâng cấp lên bản này để tăng cường tính ổn định.

Các vấn đề đã được xác định gồm:

Ngăn chặn khả năng khai thác stored XSS (cross-site scripting) liên quan đến việc render BB code (cảm ơn Antisocial)
Ngăn chặn khả năng khai thác XSS liên quan đến việc sử dụng lightbox trong bài viết (cảm ơn UwU)
Ngăn chặn khả năng khai thác RCE (remote code execution) thông qua người dùng quản trị đã xác thực nhưng có hành vi độc hại (cảm ơn UwU)

Nếu bạn là khách hàng XenForo Cloud, các bản vá cho những vấn đề này đã được triển khai tự động và không cần thực hiện thêm hành động nào.

Chúng tôi khuyến nghị thực hiện nâng cấp đầy đủ để giải quyết vấn đề, tuy nhiên bạn cũng có thể áp dụng bản vá thủ công. Xem chi tiết bên dưới.

Tải lên các tệp vá

Tải 239-patch.zip
Giải nén tệp .zip
Tải nội dung của thư mục upload lên thư mục gốc của bản cài đặt XenForo
Xây dựng lại dữ liệu master bằng cách đăng nhập vào URL cài đặt của bạn, hoặc chạy lệnh xf:rebuild-master-data trên dòng lệnh

Lưu ý: Nếu bạn chọn vá tệp thay vì nâng cấp đầy đủ, mục “File health check” sẽ báo các tệp này có “Unexpected contents”. Điều này là bình thường vì nội dung tệp không còn giống với bản XenForo gốc, và có thể bỏ qua an toàn.

Như thường lệ, các phiên bản XenForo mới miễn phí tải về cho tất cả khách hàng có giấy phép đang hoạt động. Bạn có thể tải phiên bản mới từ khu vực khách hàng hoặc nâng cấp trực tiếp từ Bảng điều khiển quản trị (Tools > Check for upgrades…).

Nâng cấp một cú nhấp lên XenForo 2.3.9

Thực hiện trực tiếp từ bảng điều khiển quản trị của bạn.

Nếu bạn là khách hàng XenForo Cloud, các bản cài đặt của bạn đã được vá và không cần hành động thêm. Bạn sẽ vẫn ở phiên bản 2.3.8 cho đến khi 2.3.10 được phát hành.

Các template công khai sau đã có thay đổi:

attachment_macros
bb_code_tag_attach
lightbox_macros

Khi cần thiết, hãy sử dụng hệ thống merge trong trang “outdated templates” để tích hợp các thay đổi này.

Như thường lệ, các bản phát hành mới của XenForo miễn phí cho tất cả khách hàng có giấy phép hợp lệ. Bạn có thể nâng cấp từ bảng điều khiển quản trị hoặc tải phiên bản mới từ khu vực khách hàng.

Lưu ý: XenForo 2.3 có yêu cầu hệ thống cao hơn so với các phiên bản trước.

Yêu cầu tối thiểu:

PHP 7.2 trở lên (khuyến nghị PHP 8.3)
MySQL 5.7 trở lên (cũng tương thích với MariaDB/Percona, v.v.)
Tất cả add-on chính thức yêu cầu XenForo 2.3
Enhanced Search yêu cầu tối thiểu Elasticsearch 7.2

Thông tin chi tiết về cách cài đặt và nâng cấp XenForo có thể được tìm thấy trong tài liệu hướng dẫn XenForo. Chúng tôi rất khuyến nghị nâng cấp trực tiếp từ bảng điều khiển quản trị của bạn.

Nguồn: Xenforo