vBulletin 3.6.7 发布

vBulletin 3.6.7

虽然才发布3.6.6，为了确保各位论坛的安全，我们必须修正一个新的XSS漏洞。

所有3.6.7之前的3.6.x版本都会被这个XSS问题影响。
vBulletin 3.5.x 以及 3.0.x不会被这个XSS问题影响。

为了降低各位升级的困扰，这个升级对3.6.6没有任何模板编辑，也没有数据库变动，所以升级程序非常简单。

我们同时也对3.6.6内所发现的一些Bug来提出了修正，以下为几个比较大的Bug修正列表:

• 支持由右往左读语言的日期选择器
• 修正了论坛存档的HTML问题
• 合并用户时候的MySQL错误
• 表情符号问题修正
• PHP 5.0.5 错误修正
• 图档路径问题修正

这里可以查看所有的问题修正.

我们对这么短时间内需要各位重新更新而深感抱歉。

修正XSS的问题

以下三个方案都可以修正这个XSS问题，而您只需要采取其中任何一个方案。

1. 完整升级: 最好的修正方案是完整的升级您的论坛。您可以从客户区来下载最新的3.6.7(升级说明). 这不光修正XSS的问题，也同时修正所有3.6.6以后所修正的问题。
2. 修正档案: 第二个修正办法为透过客户区来下载修正档案或者直接下载附加的修正档案包，然后覆盖您的论坛内的档案。
   修正档案包: 366_patch.zip
3. 插件: 这个3.6可用的插件也可以修正上题的XSS问题。您不需要FTP权限或者上传任何档案，直接导入即可。您下一次升级的时候这个插件会自动移除。
   插件档案: vb_calendar366_xss_fix_plugin.xml

请注意:

• 插件可以在任何 3.6.7 之前的3.6使用
• 修正档案只能在 3.6.4, 3.6.5 以及 3.6.6 上使用
• 您可以从任何一个旧的 vBulletin 3 版本升级到 3.6.7

 

以下为所有3.6.6以后编辑过的档案清单：

• /
  
  • calendar.php
    
  • editpost.php
    
  • newthread.php
    
• admincp/
  
  • adminpermissions.php
    
  • clear.gif - 新增的档案
    
  • options.php
    
  • phrase.php
    
  • profilefield.php
    
  • usertools.php
    
  • global.php
    
• clientscript/
  
  • vbulletin_date_picker.js
    
  • vbulletin_quick_reply.js
    
  • vbulletin_textedit.js
    
• cpstyles/
  
  • vBulletin_2_Default/calendar_popup.png - 新增的档案
    
  • vBulletin_3_Default/calendar_popup.png - 新增的档案
    
  • vBulletin_3_Frontend/calendar_popup.png - 新增的档案
    
  • vBulletin_3_Manual/calendar_popup.png - 新增的档案
    
  • vBulletin_3_Silver/calendar_popup.png - 新增的档案
    
• includes/
  
  • adminfunctions.php
    
  • adminfunctions_help.php
    
  • class_bbcode.php
    
  • class_core.php
    
  • class_dbalter.php
    
  • class_dm_user.php
    
  • class_postbit.php
    
  • functions_databuild.php
    
  • version_vbulletin.php
    
  • cron/attachmentviews.php
    
  • cron/threadviews.php
    
• install/ - 所有档案都有更新过