本文參考中文代理與英文官方網站,經 ckmarkhsu 翻譯改寫以符合台灣口語習慣
http://www.twvbb.com/vbb/showthread.php?t=521
========================================================
vBulletin 3.5.4
此版本修復了
imei addmimistrator 發現的一個小的跨站程式漏洞,並修復了許多 bugs,且新增了一些新功能。
新功能: 增強式檔案診斷
在之前的 vBulletin 版本中,"可疑的檔版本" 系統 (管理控制面板 > 維護 > 診斷 > 可疑的檔版本 ) 可檢查每個檔的版本是否和當前安裝系統版本相符。如此一來, 3.5.2 的 forumdisplay.php 在 3.5.3 下執行將被診斷出來並報告。
新改良的可疑文件檢測改良如下:
- 檔版本偵測:
系統仍然檢測檔案版本是否相符
- 遺失檔案:
系統將會識別任何遺失的檔案
- 非可識別檔案:
將標示出 vBulletin 目錄下不屬於 vBulletin 的檔案
- 檔案內容檢查:
最後也是最重要的檢測,在您下載程式時,系統會自動替每個檔案進行 MD5 運算。當您執行此功能時,系統自動檢查每個檔案的 MD5 值是否和原始檔 MD5 值相符,因此現在系統可以立即告訴您檔是否被編輯過,以用來簡單判斷檔案是否被駭客修改。
新功能: SkypeWeb 整合
SkypeWeb 提供使用者在網頁上查詢 Skype 會員的線上狀態,且此功能與 vBulletin 非常緊密整合。
請注意,若您的 vBulletin3.5.3 已安裝 SkypeWeb 外掛模組,系統會自動移除,並安裝完整版本的程式碼。
工具修改: 文字模式
新版本的文字模式,會在傳送給客戶端前先建立緩衝。
升級您的 vBulletin 以解決 XSS 漏洞
vBulletin 3.5.x 從 3.5.0 Beta1 到 3.5.3 均會受到 XSS 漏洞影響,我們建議您升級或安裝修補檔
vBulletin 3.5.x 可透過三種方法解決此問題。
- 完全升級: 最好的方法是完全升級,從 vBulletin Members' Area 下載 3.5.4 並按照 說明升級。
- 修正檔: 第二種方法是下載附件中的修正檔並上傳到你的伺服器,覆蓋既有的檔案。
- 外掛模組: 您也可以使用 3.5 的外掛模組系統來解決這個問題。檔案也在附件中下載,這是最簡單的方法,可以免去使用 FTP 上傳檔案。下次完全升級時系統將自動刪除此外掛。您可以參考此 外掛安裝說明
修復的 bug 列表 請點選
這裡