Dernière version ?

[voidmercenary]

Et bien, je viens de voir que vous avez changé de cms pour psychonaut.
vBulletin 4.1.12 (c'est écrit en bas de la page).
J'ai fait mes recherches et je remarque que la version n'est pas à jour.
Pourquoi vous n'avez pas pris la dernière qui est la 4.1.3 ? Si les modérateurs veulent l'adresse de la page je leur transmettrai en MP, ainsi que les deux pages vulnérables...
Je vous conseille gandement de mettre à jour ceci

 

[D.F.]

On va éviter de donner des idées à la con hein, merci pour l'information en tous cas.

Quoiqu'il en soit ce n'est absolument pas de notre ressort, ce sont les propriétaires néerlandais du site qui gèrent (et tiennent à gérer) tout ça, tout ce qu'on peut faire c'est leur communiquer l'info.

 

[voidmercenary]

Ok, passez leur le message alors ils devraient trouver ça facilement.

 

[D.F.]

Bon, fausse alerte. (Ou alors tu nous à découvert une jolie faille zero-day qui n'est même pas référencée sur les sites spécialisés)


Je me suis un poil emballé hier, parce que j'ai effectivement mis la main en quelques secondes sur une vieille exploit SQL-Injection et je n'ai pas regardé attentivement les numéros de version, j'ai confondu 4.1.2 et 4.1.12. Visiblement cette exploit touchait les VBulletin jusqu'à la 4.1.3, or nous sommes en 4.1.12. Sinon il est effectivement sorti un patch de sécurité pour la 4.1.12, mais il ne fait mention d'aucune exploit.


Donc si tu ne t'es pas gouré comme moi dans les numéros de version (je suppose que tu pensais aussi à l'injection SQL dans le formulaire de recherche jusqu'à la 4.1.3 ?), je serais extrêmement intéressé d'en savoir plus via MP (quand ce sera disponible) si tu as vraiment connaissance d'une exploit zero day qui éxiste pour la version 4.1.12 de VBulletin.


Quoiqu'il en soit puisque cette supposée exploit est de type zero-day, je ne pense pas qu'il faille craindre à mort de tomber sur un script-kiddie qui s'emmerde aujourd'hui et nous plombe le forum en copiant-collant du code SQL trouvé sur Google.

PS : Quand on tape un pavé il vaut clairement mieux activer l'aperçu avec l'éditeur avancé et ne pas utiliser le champ de réponse rapide, car si la requête plante, impossible de récupérer son texte... (Expérience fait juste avant le plantage y'a ~1h)

 

[voidmercenary]

J'envoie par MP le lien. Alors non je ne me suis pas amusé à chercher une faille sur le site, j'ai juste cherché sur quelques endroits "trouve-tout".

 

[voidmercenary]

Selon le site, tu as choisi de ne pas recevoir de MP, j'attends que tu débloque ça avant de t'envoyer le message.

 

[D.F.]

Oui c'est pour ça que j'ai dit "quand ça sera disponible", y'a un problème avec les MP, les admins sont en train de régler ça.

 

[Ubik012]

Bon allez jviens dire ce que j'ai relevé que jtrouve moins cool dans cette nouvelle version : plus moyen de lurker (pour l'instant?) comme disait Don, et beaucoup plus (+) moyen "d'espionner" les autres. Mais d'un autre coté, pas moyen de voir tous les messages d'un posteurs, et le "find latest post" est beaucoup moins bien que le "view your posts". M'enfin.
Mmmh, y'a un truc niveau de la taille des polices aussi, ce qui était écrit en minuscules est maintenant en taille maxi je crois bien, j'ai repéré ça dans un de mes posts en tout cas.
Et le truc que je trouve je plus chiant, c'est l'actualisation des pages lues qui se fait super mal, j'ai beau réactualiser la page, en changer et revenir sur le forum, ça me marque toujours des messages non lus, avant que j'aille faire un tour dans la section, et que non. Mais bon, juste quelques petits détails tout ça. Perso j'vais attendre que ce soit une version plus ou moins finale avant de poster je pense :smirk:
+!

et bon courage aux admins/modos!

edit : ah ouais et jsais pas si vous avez vus sur la box, mais Ouro arrive pas à se connecter du tout jcrois bien.

 

[Ji-doo]

Perso j'arrivais pas à me connecter pendant plus de 24h...
Sinon pour la version, je préferais aussi l'ancienne, mais faut laisser un peu de temps...
Bon courage aux modos !