MyBB 1.6.11 - Tous les packs fr [11-10-2013]

[spyto]

La version 1.6.11 est sortie hier. Voici une première traduction, susceptible de contenir quelques bugs/coquilles.

Précautions d'usage : dans un premier temps utilisez ces packs en local ou sur des forums non en production jusqu'à détection et correction du maximum de bugs/coquilles.

Personnellement, j'ai fait les manips suivantes en local :
1. Installation neuve 1.6.11
2. Sur installation 1.6.10, upload du pack changedfiles_1611_fr.zip et lancement du script d'upgrade
3. Sur installation 1.6.9, upload du pack complet et lancement du script d'upgrade
A priori tout se passe bien.

Évidemment, je n'ai pas testé toutes les fenêtres admin de fond en comble !
Merci d'avance à tous les testeurs...
Voir indications pour aider à la détections des bugs/coquiles en fin de post.

D'abord, qu'apporte MyBB 1.6.11 ? Qu'y a-t-il de neuf, corrigé ?

Pour répondre à vos éventuelles questions sur cette nouvelle version, voici la traduction du post de Nathan Malcolm : http://blog.mybb.com/2013/10/08/mybb-1-6-11-released-security-maintenance-release/

MyBB 1.6.11 – Mise à jour de sécurité et de maintenance

Importants correctifs de sécurité

Il nous a été signalé par Philly qu'un utilisateur était capable de s'enregistrer sur son forum avec trois caractères "emoji" qui le laissaient "non inscrit". Après avoir examiné ce roblème, nous avons découvert qu'il était plus complexe qu'on ne le pensait initialement.
(NDLR : Emoji = Émoticône, binette, ou frimousse utilisée dans les messages électroniques japonais)

L'explication technique est que l’implémentation UTF8 de MySQL ne supporte que jusqu'à 3 octets par caractère. Lorsque quelqu'un tente d'insérer une chaîne contenant un caractère utf8 sur 4 octets dans la base de données, MySQL tronque la chaîne immédiatement avant le caractère de 4 octets. Non seulement cela affecte la sécurité, mais aussi le rendu de l'utilisateur : la moitié de ses posts ou messages privés pourraient être perdus sans qu'il sache pourquoi.

La vulnérabilité a été exploitée par un utilisateur qui s'est inscrit sur un forum avec un nom d'utilisateur composé uniquement de caractères UTF8 sur 4 octets. Comme expliqué précédemment, MySQL tronque la chaîne avant la première occurrence d'un caractère UTF8 sur 4 octets ce qui conduit à vider la colonne de nom d'utilisateur. Si cet utilisateur envoyait un MP, il serait automatiquement envoyé à un utilisateur anonyme et n'importe qui serait en mesure de le lire.

Ce problème de sécurité affecte les bases de données MySQL avec un interclassement utf8_general_ci (Ceci pourrait également affecter les interclassements utf8_unicode_ci). Si vous utilisez une base de données SQLite ou PostgreSQL vous n'êtes pas concerné par ce problème.

Qu'y a-t-il d'ajouté/changé dans cette version ?

Cette distribution corrige 5 vulnérabilités et plus de 65 problèmes signalés provoquant un fonctionnement incorrect de MyBB. Soyez conscient que pour être en mesure de fournir une gestion des mises à jour, les problèmes n'ont pas tous été corrigés dans cette version.

• Vulnérabilités:
  • Risque élevé : Vulnérabilité de contournement d'autorisation dans le système MP - rapporté par Philly
  • Risque moyen : Les comptes sans clés de login pourraient être détournés - rapporté par StefanT
  • Risque faible : Faiblesse dans la fonction generate_post_check() - rapporté par Nathan Malcolm
  • Risque faible : Les statistiques anonymes ne sont pas toujours anonymes - rapporté par Nathan Malcolm
  • Risque faible : Les sauvegardes de bases de données sont exposées dans les logs - rapporté par Nathan Malcolm
• Correction de problèmes dans 1.6.11
• Problèmes non corrigés

Consultez les changements 1.6.11 sur le site Docs pour plus d'informations sur les changements dans cette version. (lien non fonctionnel à l'heure où j'écris ces lignes)

Mise à jour depuis 1.6.10 et autres versions

Avant d'effectuer toute mise à jour, n'oubliez pas de sauvegarder les fichiers de votre forum et la base de données et de les stocker en un lieu sécurisé. Si vous avez modifié des fichiers de base, y compris les fichiers de langues, assurez-vous de faire un journal de ces modifications afin de pouvoir les reporter à nouveau (si nécessaire) une fois que la mise à niveau est terminée.

Pour mettre à jour, suivez le processus de mise à niveau. Le script d'upgrade est nécessaire. Il y a aussi des changements dans 4 fichiers de langue, 5 templates ont été modifiés ou ajoutés.

Si vous utilisez MyBB 1.6.10

• Téléchargez et utilisez le pack Changed Files (fr) (fichier adapté par mes soins pour mettre à jour une installation de 1.6.10 en français !)
  Attention : Si votre installation 1.6.10 est en anglais, utilisez le Changed Files (en) original
• Suivez les instructions de Mise à niveau des Docs (anglais) ou sur notre Wiki en fr.

Si vous utilisez MyBB 1.6.9 ou inférieur

• Téléchargez et utilisez le pack complet fr/en 1.6.11
• Suivez les instructions de Mise à niveau des Docs (anglais) ou sur notre Wiki en fr.

Rapports de vulnérabilités de sécurité MyBB

Si vous pensez que vous avez trouvé une vulnérabilité dans MyBB, nous vous conseillons de ne pas la poster publiquement sur ces forums, ni de publier des informations à ce sujet ailleurs jusqu'à ce que nous ayons eu le temps de préparer et de publier un correctif.

Comme toujours, vous pouvez envoyer les messages liés à la sécurité sur le site MyBB sur la page Contactez-nous ou dans notre forum enquêtes privées - où vous pouvez démarrer un nouveau sujet que seuls vous et l'équipe de MyBB peuvent voir.

Merci.

L'Equipe MyBB

---

Dans le cas où vous avez déjà installé MyBB 1.6.11 en version anglaise et que vous voulez la "franciser", j'ai aussi créé le pack de langue

• Téléchargez et utilisez le pack de langue 1.6.11
  (les instructions sont incluses dans l'archive en anglais et en français)

Testez en local ou sur des forums non en production et rapportez les bugs ou coquilles ici :
http://www.mybb.fr/thread-5644.html

Merci pour votre participation active.
Spyto