XenForo 2.3.7 Released (Includes Security Fixes)

guclusat

guclusat

Tanınmış Üye
Süper Moderatör

XenForo 2.3.7 Released​

XenForo 2.3.7 is now available for all licensed customers to download. We strongly recommend that all customers running previous versions of XenForo 2.3 upgrade to this release to benefit from increased stability.

In addition to the usual fixes and improvements, XenForo 2.3.7 also includes a critical security fix to ensure the security of Passkeys that have been added to your account. We'd very much like to thank Jai Niresh J for reporting this issue via Eric and team at Hypixel Inc.. Between them they also reported a less severe issue related to local account page caching on shared systems.

This version also tightens up the kinds of methods that can be called from within templates, evolving from a loose "prefix" match to a stricter "first word" match of methods that can be called through callbacks and variable method calls. This fix is courtesy of Cyanide who we extend huge thanks to in taking the time to report this to us.

We'd also like to take this opportunity to notify all third party developers that writing database queries inside templates is not recommended. While this is still allowed in XenForo 2.3.7, the behaviour is now considered deprecated and will be prevented in XenForo 2.3.8. Code which currently triggers this will insert an error into the Server error log and must be fixed prior to the release of XenForo 2.3.8. Where possible, data must be queried and processed and passed into the template rather than being written inside the template itself.

Finally, we'd like to thank @TickTackk for reporting a path disclosure issue in exceptions thrown due to open_basedir restrictions.

If you are a XenForo Cloud customer, a fix has been rolled out automatically, and no further action is required to address this issue.

We recommend doing a full upgrade to resolve the issue, but a patch can be applied manually. See below for further details.

  • Download 237-patch.zip
  • Extract the .zip file
  • Upload the contents of the upload directory to the root of your XenForo installation
The following public templates have had changes:
  • carousel.less
  • connected_account_macros
  • core_datalist.less
  • featured_content_item
  • member_ban_edit
  • member_tooltip.less
  • message.less
  • post_macros
  • register_connected_account_confirm
  • style_variation_macros
  • whats_new_wrapper
The following are minimum requirements:
  • PHP 7.2 or newer (PHP 8.3 recommended)
  • MySQL 5.7 and newer (Also compatible with MariaDB/Percona etc.)
  • All of the official add-ons require XenForo 2.3.
  • Enhanced Search requires at least Elasticsearch 7.2.

İndir xenforo full zip

Dosyayı indir xenforo full zip
dosya.co
 

Önemli Noktalar:


2.3.7 sürümüne yükseltmenin en önemli nedeni, beraberinde gelen güvenlik yamalarıdır. Özellikle:
  1. Parola Güvenlik Açığı: Kullanıcı hesaplarına eklenen "Parolaların" (parolasız oturum açma anahtarları) güvenliğini sağlamaya yardımcı olan bir güvenlik sorunu keşfedildi ve düzeltildi. Bu, modern bir kimlik doğrulama yöntemidir ve korunması son derece önemlidir.
  2. Şablon Fonksiyon Çağrılarını Sıkılaştırın: Olası Siteler Arası Komut Dosyası (XSS) saldırılarını önlemek için XenForo, fonksiyonların şablonlardan çağrılma şeklini değiştirdi. Gevşek eşleştirme yerine, yeni mekanizma tam olarak "başlangıçtan" eşleşecek ve saldırganların istenmeyen komutları yürütmek için bu mekanizmayı kullanma biçimini sınırlayacak.
  3. Diğer düzeltmeler: Güncelleme ayrıca hesap sayfası önbelleğe almayla ilgili daha az ciddi bir güvenlik sorununu ve yol ifşasına yol açabilecek bir hatayı da ele alıyor.
Güncelleme yapmamanız, forumunuzun saldırıya uğraması, verilerinizin çalınması veya kötü amaçlı kodların eklenmesi riskine yol açar.


Güvenlik yamalarının yanı sıra, XenForo 2.3.7 kullanıcı ve yönetici deneyimini iyileştiren çeşitli hata düzeltmeleri de getiriyor:
  • Görüntüleme Düzeltmesi: Safari'nin yeni sürümlerinde üye araç ipuçlarının görüntülenmesiyle ilgili bir sorun düzeltildi.
  • Geliştirilmiş süreç: Sosyal ağ hesaplarına bağlantı yapılırken kullanıcı onayı istenmesi, hesap güvenliğinin artırılması.
  • Yönetici Desteği: Kullanıcı tarafından yetkilendirilen uygulamaları doğrudan yönetici sayfasından (AdminCP) görüntüleme ve iptal etme olanağı eklendi.
  • Daha İyi Uyumluluk: iOS'ta video küçük resmi oluşturma sorunu düzeltildi ve arama önerilerinin görüntülenmesi iyileştirildi.

Dikkat çekici değişikliklerden biri, yaklaşan 2.3.8 sürümünde veritabanı sorgularının doğrudan şablonlarda yazılmasının tamamen engellenecek olmasıdır. Üçüncü taraf eklenti geliştiricilerine, uyumluluğu sağlamak için ürünlerini güncelleyerek veri sorgu mantığını şablonlar yerine PHP'ye taşımaları önerilir.


XenForo 2.3.7, forumunuzu en son güvenlik tehditlerine karşı koruyan sağlam bir "kalkan" görevi gören önemli bir güncellemedir. Herhangi bir yeni özellik içermese de, güvenlik ve istikrar açısından sağladığı değer ölçülemez.

Öneriler:
  • Kendi sunucularında barındırılan müşteriler için: Lütfen tüm verileri ve kaynak kodlarını yedekleyin ve en kısa sürede 2.3.7 sürümüne yükseltin. Güncellemeyi müşteri alanından indirebilir veya AdminCP'deki otomatik yükseltme özelliğini kullanabilirsiniz.
  • XenForo Cloud müşterileri için: Hiçbir şey yapmanıza gerek yok. XenForo ekibi bu güncellemeyi sizin için otomatik olarak dağıtacaktır.
Bu, XenForo'nun gelecekteki büyük sürümlere odaklanmasından önce 2.3 sürümü için son bakım sürümü olacak.
 
Buraya cevap vermek için giriş yapmalı veya kayıt olmalısınız.
Geri
Yukarı