MyBB 1.4.8 简体中文版发布

[admin]

MyBB 1.4.8 已经发布，是一般维护和安全更新。
此次发布修正了用户报告的一些问题和自1.4.6发布以来不合适的功能。
由于这些问题的修正，现在的MyBB更加稳定。

这个版本添加或者改变了什么

• 一个精简归档模式中的低级别XSS漏洞修正，之所以标记为低级别，是因为需要版主权限。这个漏洞由frostschutz发现并报告给我们。
• 一个附件操作中的中级别XSS漏洞修正。这个漏洞由frostschutz报告给我们。
  请注意，这个补丁将取消某些类型的附件直接在浏览器中打开的方式(如QuickTime格式的电影)，新方式为浏览器会弹出询问是否下载的对话框。
• ...其它漏洞的修正。
  

此次发布已经由我们的软件质量保证组测试通过。

MyBB 1.4.7 至 MyBB 1.4.8 补丁
此补丁仅适用于1.4.7，如果您是旧版本，请下载完整安装文件覆盖，然后使用安装程序提供的升级向导进行升级。
要使用如下补丁，请下载之后解压缩，然后按照相应路径覆盖您的论坛相应文件。
无论如何，在此之前，请注意备份您论坛的文件和数据
[attachment=150]

如果您想手动升级，请按照下面的说明进行。

代码:

+--------------------------------------------------------------------------------+
| MyBB 1.4.7 - 安全更新补丁文件                                        |
| (c) 2009 MyBB Group.                                                           |
| MyBB中文站 - MyBBChina.net                                                                               |
|                                                         |
| 本补丁修复了 MyBB 1.4.7 的一个中等级别和一个低级别漏洞                        |
|                                                                                |
| 请按照下免费的说明进行手动更新。        |
+--------------------------------------------------------------------------------+

===============
1. /attachments.php
===============

查找:
--
    if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']), "msie") !== false)
    {
        header("Content-disposition: attachment; filename=\"{$attachment['filename']}\"");
    }
    else
    {
        header("Content-disposition: inline; filename=\"{$attachment['filename']}\"");
    }
    
    if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']), "msie 6.0") !== false)
    {
        header("Expires: -1");
    }
    
    header("Content-type: {$attachment['filetype']}");
--

替换为:
--
    switch($attachment['filetype'])
    {
        case "application/pdf":
        case "image/bmp":
        case "image/gif":
        case "image/jpeg":
        case "image/pjpeg":
        case "image/png":
        case "text/plain":
            header("Content-type: {$attachment['filetype']}");
            $disposition = "inline";
            break;

        default:
            header("Content-type: application/force-download");
            $disposition = "attachment";
    }

    if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']), "msie") !== false)
    {
        header("Content-disposition: attachment; filename=\"{$attachment['filename']}\"");
    }
    else
    {
        header("Content-disposition: {$disposition}; filename=\"{$attachment['filename']}\"");
    }
    
    if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']), "msie 6.0") !== false)
    {
        header("Expires: -1");
    }
--

===============
2. archive/index.php
===============

查找:
--
    if($sticky['replies'] != 1)
--

在前面添加:
--
    $sticky['subject'] = htmlspecialchars_uni($parser->parse_badwords($sticky['subject']));
--

===============
3. inc/class_core.php (只是改变版本号)
===============

查找:
--
/**
* The friendly version number of MyBB we're running.
*
* @var string
*/
var $version = "1.4.7";

/**
* The version code of MyBB we're running.
*
* @var integer
*/
var $version_code = 1407;
--

替换为:
--
/**
* The friendly version number of MyBB we're running.
*
* @var string
*/
var $version = "1.4.8";

/**
* The version code of MyBB we're running.
*
* @var integer
*/
var $version_code = 1408;
--

全部完成

请注意：这个手动更新设置说明只是修正了安全问题，并且只是临时保证你论坛的安全，你必须尽快进行完整升级。
升级说明，模板变更和语言文件的变更，下面有说明。

请注意：此次更新需要运行升级脚本。这是因为模板可能会更新。
此次更新没有数据库结构方面的改变。

MyBB 1.2.14补丁
MyBB 1.2系列的用户可以使用上面的说明进行安全方面的更新(不包括版本号变更)。

请注意所有用户1.2.x系列的用户尽快升级到最新版本的MyBB (1.4.8) 。MyBB 1.2将不再被支持，但安全更新MyBB 1.2系列将持续到2009年12月。

从1.4系列升级
当从1.4.7升级的时候，你不会丢失自定义主题，插件还有安装的语言包。
你可以下载补丁包或者完整安装包覆盖旧文件，然后运行install/，选择升级，然后选择正确的当前论坛所使用的版本进行升级。补丁包下载地址：

  changed_files_1408.zip (大小: 441.41 KB / 下载: 6)

升级之后，你必须使用下面的说明来检查修改过的模板。


下载地址：
完整安装包： http://www.mybbchina.net/download/latest.zip
独立语言包： http://www.mybbchina.net/download/latestlp.zip

完整安装包合作下载:
站长下载: http://down.cnzz.cn/Info/44683.aspx
中国站长下载： http://down.chinaz.com/soft/24453.htm
源码网下载： http://www.codepub.com/software/view-software-2929.html
洪越源码下载： http://www.softhy.net/soft/19622.htm

[admin]

自从MyBB 1.4.6之后改变的文件
•announcements.php
•attachment.php
•forumdisplay.php
•global.php
•member.php
•report.php
•search.php
•sendthread.php
•showthread.php
•syndication.php
•xmlhttp.php
•install/
◦resources/
■mybb_theme.xml
•archive/
◦index.php
•admin/
◦inc/
■functions_view_manager.php
◦modules/
■forum/
■management.php
■style/
■templates.php
■tools/
■adminlog.php
■config/
■plugins.php
■spiders.php
■user/
■admin_permissions.php
■users.php
•inc/
◦class_core.php
◦class_language.php
◦class_moderation.php
◦functions.php
◦functions_search.php
◦plugins/
■akismet.php
◦cachehandlers/
■memcache.php
◦languages/
■english.php
■english/
■global.lang.php
■admin/
■config_spiders.lang.php
◦datahandlers/
■pm.php
■post.php
■user.php
* 红色表示文件包含安全更新
* 绿色表示这是此次发布新添加的文件

[admin]

自从MyBB 1.4.6之后修正的漏洞
•#51407 - 为admin用户改变权限
•#51377 - 在插件升级页面使用后台管理员控制面板的钩子运行插件
•#51257 - Syndication.php MySQL 错误 (Limit 选项) [R] [C-StefanT]
•#51177 - [归档] 缺少 htmlspecialchars_uni() 转换 [C-StefanT]
•#51054 - 归档 - SQL 漏洞 查询 附件/帖子 在被遗弃的主题 [C-StefanT]
•#50833 - 生日没有天 [C-StefanT]
•#50441 - 搜索漏洞 w/ “and” [R] [C-StefanT]
•#50324 - 丢失空白字符 [R] [C-Michael S.]
•#50323 - 丢失 </tr> 在模版 modcp_ipsearch_result [R] [C-Michael S.]
•#50291 - 确认问题 [C-Chris W B.]
•#50287 - Akismet 插件用户名链接问题 [C-StefanT]
•#50240 - 删除模板的功能 [C-Chris W B.]
•#49888 - [typo] memcache.php [C-StefanT]
•#49838 - [pgsql] 报告帖子在没有版主的版块 [C-StefanT]
•#49461 - [typo] inc/cachehandlers/memcache.php [C-StefanT]
•#49898 - 公告和没有主题的模版问题 [C-StefanT]
•#49276 - 可以查看主题错误问题 [C-StefanT]
•#49258 - 通过PM通知关于新报告的帖子 [C-StefanT]
•#49256 - 使用MyBB Engine通知关于新的PM [R] [C-StefanT]
•#49255 - [pgsql] 报告帖子 [C-StefanT]
•#49251 - [Typo] class_moderation.php (1.4.?) [R] [C-StefanT]
•#49111 - 全部帖子的百分比 [R] [C-StefanT]
•#48814 - config_spiders.lang.php 覆盖 $lang->language [C-sayakb]
•#48773 - 用户组邮件限制关闭出现一个问题 [C-sayakb]
•#48771 - 合并帐户声望问题
•#48692 - 公告在密码保护的版块 [C-sayakb]
•#48670 - 查找用户的帖子 - 不显示新帖 (当点击限制的时候) [R]
•#48668 - 为版主显示搜索结果为帖子 [R] [C-StefanT]
•#48603 - 漏洞? 管理员看不到用户列表
•#48601 - [pgsql] SQL 错误 如果主题被处理过 [C-StefanT]
•#47745 - editpost.php 关闭板块的问题 [R]

[admin]

主题和模板的变更
使用 “查找更新的” 链接，位于 “模板” 页面下，在管理员控制面板中，你可以找到一个模板改变过的列表，这些列表是你自定义过的，你可能需要手动更新它们。

确认了改变过的模版之后，你可以使用这个工具还原自定义的模板为默认的(删除它们)，或者使用 “不同” 工具来执行一个自定义模板和默认模板不同之处的分析。

“必须还原” 表明这个模板你要么必须还原到默认的模板，要么必须修改自定义的模板，在其中包括默认模板中的改变，才能在1.4.8版本下正确的工作。如果没有这个标识，那说明你自定义的模板与当前版本能够完美的工作。

模板改变
自从 MyBB 1.4.6 以来，下面的这些模板改变过:

•modcp_ipsearch_result
•forumdisplay_announcements_announcement
* 红色表示必须更新或者必须还原为默认版本以消除安全问题

语言文件变更
自从1.4.6 这些语言文件发生过变更:

•global.lang.php
•admin/
◦config_spiders.lang.php
要么更新你的语言文件来包括这些变更，要么使用默认的英语语言文件。

插件
大多数MyBB 1.4.x 的插件可以正确的工作而无需更新。

[osimoon]

好，升级下，谢谢了。

[中华强国论坛]

升级下，好的，字数够了吧

[peacock]

辛苦了，感谢！

[woniu1984]

支持一下，下载下来进行测试。





-----------------------------------------------------------------------
痔疮

[osimoon]

在等等升级

[气味儿]

下载个在本地看一下！