XenForo - Release XenForo 2.1.10 Patch 2 (Includes Security Fix) - Full & Upgrade

[marilyn]

Bonjour à tous, je vous partage la mise à jour de XenForo 2.1.10 Patch 2 (Includes Security Fix).
En version Full et Upgrade.

Voir la pièce jointe 18590

Annonce de la mise à jour :
https://xenforo.com/community/threads/xenforo-2-1-10-patch-2-released-includes-security-fix.180901/
Demo :
https://xenforo.com/demo/

Description de la mise à jour :

Spoiler: SPOILER

XenForo 2.1.10 est maintenant disponible pour tous les clients sous licence à télécharger. Nous recommandons à tous les clients exécutant des versions précédentes de XenForo 2.1 d'effectuer une mise à niveau vers cette version pour bénéficier d'une stabilité accrue.

Plus important encore, cette version corrige une vulnérabilité de sécurité dans XenForo.

Le problème est une vulnérabilité XSS. Les problèmes XSS (Cross Site Scripting) permettent d'injecter des scripts et du code HTML malveillant dans la page, ce qui pourrait permettre le vol de données ou un accès non authentifié. La vulnérabilité nécessite certaines mesures très spécifiques, notamment le collage de contenu malveillant dans l'éditeur de texte enrichi XenForo, ce qui peut rendre son déclenchement difficile. XenForo remercie @@TickTackk d' avoir signalé le problème.

Bien que nous vous recommandions d'effectuer une mise à niveau complète pour résoudre ce problème, vous pouvez également corriger le problème vous-même avec le fichier joint.

Pour patcher votre installation existante, veuillez suivre ces étapes:

1. Téléchargez les fichiers de correctifs contenus dans un fichier appelé 2110patch.zip​
2. Extrayez le fichier zip sur votre ordinateur, qui doit contenir les fichiers suivants:
   1. upload/js/xf/editor.js​
   2. upload/js/xf/editor.min.js​
   3. upload/js/xf/editor-compiled.js​
3. Téléchargez le contenu du uploadrépertoire à la racine de votre installation XF.​
4. Cela écrasera les fichiers suivants:
   1. js/xf/editor.js​
   2. js/xf/editor.min.js​
   3. js/xf/editor-compiled.js​

Remarque: Si vous décidez de corriger les fichiers au lieu de procéder à une mise à niveau complète, votre "Vérification de l'intégrité des fichiers" signalera ces trois fichiers comme ayant un "contenu inattendu". Étant donné que ces fichiers ne contiennent plus le même contenu avec lequel votre version de XF a été livrée, cela est prévu et peut être ignoré en toute sécurité.

Pour obtenir des instructions sur la façon de résoudre le problème en effectuant une mise à niveau et pour voir ce qui a changé dans XenForo 2.1.10, veuillez continuer.

Téléchargez XenForo 2.1.10
ou mettez à
niveau directement depuis votre panneau de contrôle

Lorsque nous avons publié XenForo 2.0.2nous vous avons dit que nous voulions commencer à collecter certaines informations sur votre installation XenForo et le serveur sur lequel elle est installée. Les données que nous collectons sont votre version PHP, la version MySQL et votre version XenForo. Ces informations nous aident à prendre des décisions importantes telles que la version minimale de PHP que nous devrions cibler pour les futures versions et nous aide à mieux comprendre la rapidité avec laquelle les nouvelles versions XF sont adoptées.

En plus des données susmentionnées, nous aimerions également commencer à comprendre le nombre de modules complémentaires que nos clients ont installés, ainsi que les ID de module complémentaire spécifiques de tous les modules complémentaires XenForo officiels que vous avez installés.

Pendant cette mise à niveau, vous serez de nouveau invité à indiquer si vous souhaitez fournir les statistiques d'utilisation ou non.

Ces informations sont, et seront toujours, entièrement anonymes et n'incluent aucune information personnelle ou privée, mais elles sont d'une grande aide.

Certains des autres changements dans XF 2.1.10 incluent:

• Prend correctement en charge la désactivation des limites de mémoire lors de l'appel de setMemoryLimit avec -1.​
• Empêcher une condition de concurrence liée au double-clic lors de la réaction au contenu.​
• Empêchez une erreur de serveur lorsque vous essayez de modifier un super administrateur via un non super administrateur. (En outre, autorisez l'option d'autorisations de contournement de la demande d'API pour contourner cette contrainte.)​
• Ne pas afficher les sites multimédias non pris en charge dans la liste des sites approuvés​
• Définir correctement les info-bulles moyennes dans les graphiques de statistiques​
• Autoriser le corps du message «0» dans les commentaires du rapport​
• Autoriser les recherches de «0» dans les titres et contenus de modèles et d'expressions​
• Ne lancez pas d'erreur lorsque vous essayez d'afficher les réactions sur un message de conversation par un utilisateur supprimé.​
• Lors de la suppression des actions d'avertissement, redirigez correctement vers la liste des avertissements.​
• Lors de la suppression des modifications de modèle, redirigez vers la liste de types de modification de modèle appropriée.​
• Définissez une longueur maximale pour le champ content_type dans l'entité de journal de déclenchement du spam.​
• Autorisez les utilisateurs à reconfirmer leurs adresses e-mail existantes si des e-mails y ont déjà été renvoyés.​
• Choisissez de ne pas afficher de titre pour les widgets HTML si aucun titre explicite n'est défini.​
• Évitez de générer une erreur de modèle pour les éléments de file d'attente d'approbation sans relation utilisateur.​
• Assurez-vous que l'adaptateur de réplication MySQL lève l'exception correcte en cas d'échec et prend en charge l'option charset.​
• Ajustez l'affichage des cases à cocher du filtre de conversation.​
• Utilisez le bon modificateur lors de la création d'URL de pièce jointe pour l'éditeur.​
• Assurez-vous que les URL miniatures complètes sont utilisées lors du rendu du code ATTACH BB, notamment pour le rendu dans les e-mails.​
• Vérifiez correctement les versions PHP, PHP et MySQL requises lors de l'installation du module complémentaire​
• N'autorisez pas les doubles barres obliques inverses pour les rappels PHP.​
• Redirigez vers la liste des groupes d'options après avoir supprimé un groupe d'options.​
• Redirigez vers le groupe d'options lors de la suppression d'une option.​
• Assurez-vous que les tableaux sont toujours renvoyés par les méthodes de paire de titres​
• Ne supprimez pas les balises HTML sur les sélecteurs de contenu de publication.​
• Vérifier correctement les autorisations sur la page du rapport utilisateur​
• Gérer correctement les débits compensatoires pour les comptes PayPal Funds Now​
• Log IP lorsque le contrôle TFA est déclenché​
• Évitez le verrouillage de la table lorsque vous vérifiez si la table du journal des erreurs est remplie​
• Corrigez nos données de fuseau horaire automatique afin que UTC + 3 renvoie l'Europe / Moscou comme prévu.​
• Ajustez légèrement le texte d'explication de l'option boardDescription pour clarifier qu'elle s'applique à la "page par défaut des forums".​
• Assurez-vous de marquer tous les descendants du forum comme lus lors du marquage d'un forum lu - pas seulement ses enfants.​
• Optez pour des paramètres par défaut plus souhaitables lors de l'envoi d'e-mails aux utilisateurs​
• Correction d'un indice de type incorrect sur la méthode App :: service.​
• Essayez de convertir les balises <code> entrantes en code BB pertinent.​
• Étendez la protection de boucle infinie color_picker.js pour permettre aux couleurs d'être résolues plus d'une fois jusqu'à une limite de 3 fois chacune.​
• Étendez la prise en charge de nos boutons de partage pour inclure l'image de la page et envoyez-la avec les clics sur le bouton de partage Pinterest.​
• Faire une requête pour trouver les articles les plus récents / suivants dans un fil plus performant.​
• Ajustez légèrement la phrase sur les clés de position d'annonce uniques pour suggérer que la clé est peut-être déjà utilisée.​
• Assurez-vous que les boutons d'espace réservé "Aucune autorisation" enveloppent correctement le texte.​
• Lance une erreur plus claire si le compilateur de fermeture renvoie une réponse inattendue lors de la réduction de JS.​
• Charger des images lors de la reconstruction d'emoji récents​
• Utilisez une fonction cohérente lorsque vous vérifiez si CAPTCHA doit être affiché.​
• Ajoutez des attributs de titre à la plupart des champs de modification des propriétés de style pour rendre plus claire la propriété CSS spécifique en cours d'ajustement.​
• Autoriser les modérateurs à expirer / supprimer les avertissements qu'ils ont émis​
• Assurez-vous que le texte de remplacement est correctement affiché lorsque vous survolez des pièces jointes de vignettes.​
• Afficher le nom du champ dans le message d'erreur de champ personnalisé requis​
• Assurez-vous que les valeurs entières et flottantes sont correctement converties lors de l'utilisation des moteurs de recherche.​
• Normaliser correctement les critères d'action de la page​
• Implémentez la possibilité d'étendre toutes les classes XF \ CustomField \ * - en particulier Set et DefinitionSet.​
• Évitez une erreur si un utilisateur a 25 achats d'abonnement incomplets avec Stripe​
• Rendre plus clair l'utilisation appropriée de la valeur currency_format d'une langue.​
• Vérifiez les hrefs de fil d'Ariane par rapport à l'URI de demande complète (y compris le schéma et l'hôte) ainsi que les URI de demande partielle pour déterminer quand ils doivent être automatiquement masqués.​
• Empêchez le débordement de table dans le journal des modifications de l'utilisateur avec de larges fenêtres de navigateur.​
• Autorisez la reprise des travaux de reconstruction déclenchés manuellement via la ligne de commande.​
• Prise en charge des URL utilisées dans les paramètres d'action du journal du modérateur.​
• Lors de la création d'un nouveau profil de paiement, n'affichez que les fournisseurs de modules complémentaires actifs.​
• Correction d'un échec de compilation MOINS lorsque le remplissage d'entrée de formulaire est vide​
• Autorise la mise au point automatique dans les éléments d'entrée de marquage / jeton.​
• Assurez-vous qu'iOS ouvre des réactions sur appui long (compatible avec les versions précédentes et les autres appareils mobiles).​
• Désactivez l'éditeur de code CodeMirror (avec un retour à une zone de texte standard) sur les appareils Android en raison de problèmes de compatibilité.​
• Apportez des améliorations à la liste des modérateurs, en particulier lorsqu'il existe un grand nombre d'enregistrements de modérateurs.​
• Lors de l'importation d'utilisateurs avec des adresses e-mail non valides, définissez correctement leurs états d'utilisateur.​

Les modèles publics suivants ont subi des modifications:

• _help_page_bb_codes​
• app_body.less​
• bb_code_tag_attach​
• code_editor​
• conversation_list​
• core_datalist.less​
• core_input.less​
• core_menu.less​
• core_overlay.less​
• editor.less​
• editor_base.less​
• editor_dialog_media​
• forum_post_quick_thread​
• forum_post_thread​
• forum_post_thread_chooser​
• forum_view​
• lightbox.less​
• lost_password_confirm​
• PAGE_CONTAINER​
• payment_cancel_recurring_confirm​
• payment_initiate.less​
• quick_reply_macros​
• share_page_macros​
• thread_reply​
• thread_view​
• widget_html​

Le cas échéant, le système de fusion de la page "modèles obsolètes" doit être utilisé pour intégrer ces modifications.

Comme toujours, les nouvelles versions de XenForo sont téléchargeables gratuitement pour tous les clients disposant de licences actives, qui peuvent désormais récupérer la nouvelle version dans l' espace client .

Remarque: les modules complémentaires, les personnalisations et les styles créés pour XenForo 1.x ne sont pas compatibles avec XenForo 2.x. Si votre site dépend de ces fonctionnalités essentielles, assurez-vous qu'il existe une version XenForo 2 avant de commencer la mise à niveau. Nous vous recommandons fortement d'effectuer une sauvegarde avant de tenter une mise à niveau.

Exigences actuelles

Veuillez noter que XenForo 2.1.x a une configuration système plus élevée que XenForo 1.x.

Voici les exigences minimales :

• PHP 5.6 ou plus récent (PHP 7.4 recommandé)​
• MySQL 5.5 et plus récent (également compatible avec MariaDB / Percona etc.)​
• Tous les modules complémentaires officiels nécessitent XenForo 2.1.​
• La recherche améliorée nécessite au moins Elasticsearch 2.0.​

Instructions d'installation et de mise à niveau pour XenForo 2.1 Tous les

détails sur l' installation et la mise à niveau de XenForo se trouvent dans le manuel XenForo 2 .

Si vous utilisez déjà XF 2.1 ou supérieur, nous vous recommandons fortement de mettre à niveau directement depuis votre panneau de contrôle .

Notez que lors de la mise à niveau de XenForo 1.x, tous les modules complémentaires seront désactivés et les personnalisations de style ne seront pas conservées. De nouvelles versions des modules complémentaires devront être installées et les personnalisations devront être refaites. Nous vous recommandons fortement d'effectuer une sauvegarde avant de tenter une mise à niveau. Une fois mis à niveau, vous ne pourrez pas rétrograder sans restaurer à partir d'une sauvegarde.

Download Full :
[<b>Contenu masqué</b>]

Download Upgrade :
[<b>Contenu masqué</b>]

merci