• أعضاء وزوار معهد زين العربية، نود أن نعلمكم أن المعهد سيشهد في الفترة القادمة الكثير من التغيرات سواءا على المستوى الاداري او مستوى الاقسام، لذا نرجو منكم التعاون، وأي ملاحظات او استفسارات يرجى التواصل معنا عبر قسم الشكاوي و الإقتراحات و الطلبات ونشكركم على حسن تفهمكم وتعاونكم ،مع خالص الشكر والتقدير والاحترام من إدارة زين العربية.

[ نسخة جديدة ] تم إصدار XenForo 2.1.15 Patch 1, 2.2.16 Patch 2 و معرض الوسائط 2.1.9 , 2.2.6 (يشمل إصلاحات أمنية)

أبو غَيْث

:: الإدارة العامة ::
طاقم الإدارة
23 يناير 2019
5,246
40
3,269
113
زين العربية
xenarabia.com
الإصلاح الأمني
ننصح اليوم جميع العملاء الذين يستخدمون XenForo بأنه تم تحديد ثغرة أمنية محتملة. يجب على جميع العملاء المتأثرين إما الترقية إلى XenForo 2.1.15 أو XenForo 2.2.16.

إذا كنت أحد عملاء XenForo Cloud، فقد تم طرح الإصلاح تلقائيًا، ولا يلزم اتخاذ أي إجراء آخر لمعالجة هذه المشكلة.

إذا كنت تقوم بتشغيل إصدار ما قبل النشر من XenForo 2.3، فيجب عليك اتباع الإرشادات الموجودة في سلسلة الإعلانات الخاصة بإصدار XenForo 2.3.0 Release Candidate 1.

تتعلق المشكلة باحتمال تزوير طلب عبر المواقع وثغرة أمنية لإدخال التعليمات البرمجية مما قد يؤدي إلى تنفيذ تعليمات برمجية عن بعد (RCE) أو استغلال البرمجة النصية عبر المواقع (XSS).

تتقدم XenForo بالشكر إلى الباحث الأمني المستقل Egidio Romano (EgiX)، الذي يعمل مع SSD Secure Disclosure.

نوصي بإجراء ترقية كاملة لحل المشكلة، ولكن يمكن تطبيق التصحيح يدويًا على أي إصدار. انظر أدناه للحصول على مزيد من التفاصيل.

تطبيق التصحيح يدويا
لتصحيح هذه المشكلة يدويًا، ستحتاج إلى تحرير ملف واحد يدويًا وتحميل بعض الملفات التي تم تغييرها.

الخطوة 1:
افتح الملف src/XF.php
ابحث عن السطر التالي:
PHP:
$parts = explode(':', $string, 3);

استبدل السطر السابق بما يلي:

PHP:
if (!$string) return '';

        if (strpos($string, ':') === false)
        {
            $pattern = '#^\\\?'
                . str_replace('%s', '([A-Za-z0-9_\\\]+)', preg_quote(ltrim($formatter, '\\')))
                . '$#';
            if (!preg_match($pattern, $string, $matches))
            {
                throw new \InvalidArgumentException(sprintf(
                    'Class %s does not match formatter pattern %s',
                    $string,
                    $formatter
                ));
            }

            // already a class
            return $string;
        }

        $parts = explode(':', $string, 3);

ملاحظة: لا يمكن تصحيح هذا الملف تلقائيًا لأنه يحتوي على بيانات خاصة بالتثبيت. يجب عليك تطبيق هذا التغيير يدويًا على أي تثبيت XenForo يعمل باصدار XenForo 2.1 أو 2.2 لإصلاح المشكلة بشكل فعال.

الخطوة 2: تحميل ملفات XF
  • قم بتحميل سواءا 2115-patch.zip (لـ XenForo 2.1) أو 2216-patch.zip (لـ XenForo 2.2).
  • قم بفك الضغط عن ملف .zip
  • قم بتحميل محتويات الملف السابق الى مسار تثبيت XenForo الخاص بك
الخطوة 3: تحميل ملفات XFMG (لعملاء XenForo Media Gallery فقط).
  • قم بتحميل سواءا xfmg219-patch.zip (لـ XenForo Media Gallery 2.1) أو xfmg226-patch.zip (لـ XenForo Media Gallery 2.2).
  • قم بفك الضغط عن ملف .zip
  • قم بتحميل محتويات الملف السابق الى مسار تثبيت XenForo الخاص بك
ملاحظة: إذا قررت تصحيح الملفات بدلاً من إجراء ترقيات كاملة، فسيقوم "فحص صحة الملف" الخاص بك بالإبلاغ عن أن هذه الملفات تحتوي على "محتويات غير متوقعة". نظرًا لأن هذه الملفات لم تعد تحتوي على نفس المحتويات التي تم شحن إصدار XF الخاص بك معها، فهذا أمر متوقع ويمكن تجاهله بأمان.

كما هو الحال دائمًا، يمكن تنزيل الإصدارات الجديدة من XenForo مجانًا لجميع العملاء الذين لديهم تراخيص نشطة، والذين يمكنهم الآن الحصول على الإصدار الجديد من منطقة العملاء أو الترقية من لوحة تحكم المسؤول (الأدوات > التحقق من وجود ترقيات...).

تم إصدار XenForo 2.2.16
XenForo 2.2.16 متاح الآن لجميع العملاء المرخصين للتنزيل. نوصي بشدة جميع العملاء الذين يستخدمون الإصدارات السابقة من XenForo 2.2 بالترقية إلى هذا الإصدار للاستفادة من الاستقرار المتزايد.

بعض التغيرات التي شملت XF 2.2.16 :

كما هو الحال دائمًا، يمكن تنزيل الإصدارات الجديدة من XenForo مجانًا لجميع العملاء الذين لديهم تراخيص نشطة. يمكنك الآن الترقية من لوحة تحكم المشرف أو الحصول على الإصدار الجديد من منطقة العملاء.

المتطلبات الحالية
يرجى ملاحظة أن XenForo 2.2 لديه متطلبات نظام أعلى من الإصدارات السابقة.

وفيما يلي الحد الأدنى من المتطلبات:

  • PHP 7.2 أو أحدث (يوصى باستخدام PHP 8.2)
  • MySQL 5.5 والأحدث (متوافق أيضًا مع MariaDB/Percona وما إلى ذلك)
  • جميع الإضافات الرسمية تتطلب XenForo 2.2.
  • يتطلب البحث المحسّن Elasticsearch 2.0 على الأقل.
 

المرفقات

التعديل الأخير:
تم إصدار XenForo 2.2.16 Patch 2

أولاً، لتوضيح بعض المخاوف التي نشأت:

1. إذا قمت بإجراء ترقية عادية (إما تحميل الملفات أو عبر لوحة تحكم المشرف الخاصة بك)، فلن تحتاج إلى تحرير أي ملفات يدويًا لتلقي إصلاحات الأمان.
2. إذا قمت بالترقية إلى الإصدار الأول 2.2.16، فستكون محميًا بشكل كامل ضد المشكلات الأمنية التي تتم معالجتها.

ثانيًا، يتم إصدار تصحيح ثانٍ لمعالجة بعض إصلاحات الأخطاء الطفيفة التي ربما لم يتم تطبيقها بشكل صحيح عند الترقية إلى XenForo 2.2.16. ينطبق هذا فقط إذا قمت بإجراء ترقية عادية إلى 2.2.16، وكان هذا التصحيح غير متعلق بالأمان أو متأثر بإصلاحات الأمان.

يمكنك تنزيل ذلك الآن من منطقة العملاء الخاصة بك أو إجراء ترقية بنقرة واحدة من خلال لوحة تحكم المشرف الخاصة بك. يمكنك الانتقال إلى الأدوات > التحقق من وجود ترقيات لرؤية إصدار التصحيح الثاني.

إذا كنت تقوم بتشغيل XenForo Cloud، فسيتم تطبيق الإصلاحات تلقائيًا.
 

المواضيع المُشابهة

إحصائيات المنتدى

المواضيع
1,451
المشاركات
16,647
الأعضاء
1,027
آخر عضو مسجل
dedowbas
أعلى