Gå till innehåll

Förändring vid bilduppladdning


Benighted

Rekommenderade inlägg

Som några av er redan uppmärksammat förändrades bild-uppladdaren natten till torsdagen, detta gjordes av säkerhetsskäl då man hittat säkerhetsluckor i den kod som användes av den avancerade uppladdaren. Tyvärr får jag även meddela att bolaget bakom programvaran som används för vårat forum INTE tänker åtgärda detta så att den kan aktiveras igen, så det är bara att beklaga försämringen :(

Lite fördjupning för de intresserade, men ingen viktig information:

De har en nyare version av programvaran som vi har testat men som inte uppfyller flera grundläggande villkor vi har för forumet, då flera funktioner som funnits i många år helt saknas i denna nya version. Vi tittar samtidigt efter andra programvaror för att driva forumet på i framtiden då supporten för den nuvarande inte håller den klass man ska förvänta sig av en kommersiell produkt. Problemen med den nya versionen har dragit ut på en större uppdatering av forumet som var tänkt att göras i samband med den uppgraderingen för att underlätta för både oss tekniker som jobbar med sidan och er användare.

Det som triggade borttagningen av uppladdaren är detta mail som kom igår kväll/natt (och det faktum att som alla forum/lite större sidor vi konstant är utsatta för intrångsförsök (i medel kanske ett 10 tal försök i timmen att hitta svagheter i säkerhetssystemen kan ses i loggarna)):

"It has come to our attention that there is a security issue in the uploader.swf file included as part of the Yahoo User Interface (YUI) library included in vBulletin 4. As the version of YUI included in vBulletin is end-of-lifed, Yahoo will not be fixing this issue. Their recommendation is to remove the file from your server. We recommend that you replace this with an empty file of the same name (attached). What this will do is force vBulletin to use a fallback javascript based uploader which is already provided in your system.

The vulnerable file is also present in the vBulletin 5 download package though not used by the vBulletin 5 front-end. We recommend that you delete the file and replace it with the attached file.

Note: We will not be fixing the vulnerability in the SWF file directly nor do we plan to take any other action on this issue at this time."

Länka till kommentar
Dela på andra sidor

  • 2 veckor senare...

Gå med i konversationen

Du kan posta nu och registrera dig senare. Om du har ett konto, logga in nu för att posta med ditt konto.

Guest
Svara på detta ämne...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Ditt tidigare innehåll har återskapats.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa Ny...