PDA

Visualizza versione completa : Security vBulletin: Problema di sicurezza YUI nel file uploader.swf



Asterix
05-01-14, 10: 29
E' stato segnalato un problema di sicurezza nel file uploader.swf incluso come parte della biblioteca Yahoo User Interface (YUI). La versione di YUI inclusa nel vBulletin Ŕ classificata come fine vita, pertanto Yahoo non procederÓ nella correzione del problema. Loro raccomandano di rimuovere il file dal server. Al fine di non bloccare il vBulletin si consiglia di sostituire il file con un file vuoto con lo stesso nome, questa operazione costringerÓ vBulletin ad usare un javascript basato uploader fallback che Ŕ giÓ previsto nel sistema.

Segnalazione del problema: YUI Security Bulletin (http://yuilibrary.com/support/20131111-vulnerability/)
fonte vBulletin: YUI Security Issue found in uploader.swf - vBulletin Community Forum (http://www.vbulletin.com/forum/forum/vbulletin-announcements/vbulletin-announcements_aa/4014388-yui-security-issue-found-in-uploader-swf)

Il file vulnerabile Ŕ presente anche nel pacchetto di vBulletin 5, non viene utilizzato dal vBulletin 5 front-end. Si consiglia comunque di eliminare il file e sostituirlo con il file vuoto come descritto per vBulletin4.

Si informa che sono stati aggiornati tutti i download presenti nell'area member per vBulletin 4.xe 5.x con il nuovo file vuoto.

Per risolvere questo problema adottare le seguenti misure:

- Eliminare uploader.swf situato in \clientscript\yui\uploader\assets o /core/ClientScript/yui/uploader/assets
- Sostituirlo con il file vuoto.

In alternativa, Ŕ possibile scaricare nuovamente il pacchetto vBulletin per la versione installata e sostituirla.

:bai