Ihre Meinungen zu vBulletin 3.0.5 (Deutsch).

Probleme und Bugs bitte im entsprechenden Forum beschreiben oder direkt im Bug Tracker (http://www.vbulletin.com/forum/forumdisplay.php?f=77) bei vBulletin.com melden.

Erster Download :cool:
Aber mit dem Install warte ich lieber noch eine Weile ;)

Edit: Nur stimmt die Anzeige "Das vBulletin 3 Paket wurde am 07.01.2005 um 09:21 zuletzt aktualisiert."?

Wo is denn die init.php ?? Müsste / sollte die nicht angehängt wer0den?/

edit
oh das download-paket is ja schon seit heute morgen verfügbar :eek: oder amizeit?

Das vBulletin 3 Paket wurde am 07.01.2005 um 09:21 zuletzt aktualisiert.

Edit: Nur stimmt die Anzeige "Das vBulletin 3 Paket wurde am 07.01.2005 um 09:21 zuletzt aktualisiert."?Zu dieser Zeit wurde es bei vBulletin.com veröffentlicht.

init.php ist jetzt im Anhang.

Vielen Dank für die schnelle Umsetzung!

--
Gruss Thoki.

Sorry, dass ich das jetzt mal los werden muss. Genau wie beim letzten Mal kommt nur kurze Zeit nach Veröffentlichung eines Updates gleich ein weiteres! Wieviel Arbeit so ein Update bedeuten kann (wenn man viele Hacks installiert hat), brauche ich wohl nicht zu erklären...

Es wäre nett, wenn man erfahren könnte, wann mit dem nächsten größeren Update (wie z. B. 3.1) zu rechnen ist? Ein grober Zeitplan (z. B. in welchem Quartal es voraussichtlich kommt) wäre sehr hilfreich für die eigenen Planungen.

Was kann mir passieren, wenn ich bei Version 3.0.1 bleibe und nur die init.php überspiele?

Gruß,
Chriss

das zweite Update ging in 10 min trotz einiger Hacks :D

Och nee... gestern abend erst auf 3.0.4 upgedatet und mühsam die Hacks wieder eingebaut :/

Hätte ich einen Tag gewartet hätte ich mir 1x sinnloses updaten sparen können... pech gehabt halt...

Naja, die Sicherheit meines Boards ists mir wert... heute nacht halt nochmal update :D

Update war innerhalb von Minuten erledigt. Nun bin ich wieder ganz aktuell :D

Wenn man keine eigenen Hacks/Veränderungen etc. eingebaut hat gehen die Updates immer schnell ;>

Wenigstens hab ich noch nicht alle templates zurückgesetzt um da eventuelle Änderungen dran zu übernehmen... Sollte man ja nach jedem Update zurücksetzen und dann eigene Änderungen wieder reinmachen...

So nebenbei: Was ist das eigentlich für ne Sicherheitslücke?

Sollte vB-G nicht auch mal das Board updaten? Durch die sicherheitslücke könnte man doch auf den server kommen und dann womöglich kundendaten klauen, oder hab ich das falsch verstanden?

So, vB 3.0.5 rennt erstmal einwandfrei. Hoffentlich tauchen diesmal keine nachträglichen Überraschungen auf. :)

Allerdings macht mir das hier etwas Sorgen:
http://www.vbulletin.com/forum/showpost.php?p=791549&postcount=126

Mystics Du schriebst:
Die Sicherheitslücke betrifft jeden, der vBulletin 3 auf einem Server betreibt, der mit PHP 4 läuft und bei dem register_globals in der php.ini aktiviert ist.
was ist wenn dem nicht so ist?

mfg
frage

:mad: Wie jetzt... Is jetzt die Init.php eine neuere als vor ein paar Tagen oder kann ich mir das Hack einbauen jetzt sparen?
Ich hatte mir nur die init.php vorgenommen und php aktuallisiert sonst nix!

Also is diese init.php jetzt neuer als die alte? :confused: :rolleyes:

Sorry, dass ich das jetzt mal los werden muss. Genau wie beim letzten Mal kommt nur kurze Zeit nach Veröffentlichung eines Updates gleich ein weiteres! Wieviel Arbeit so ein Update bedeuten kann (wenn man viele Hacks installiert hat), brauche ich wohl nicht zu erklären...

Du solltest lieber froh sein das Jelsoft so schnell auf solche Sicherheitslücken reagiert. Was ein Kunde nach dem Erwerb von vBulletin verändert, ist denke ich mal, jedem sein eigenes Problem und nicht das von Jelsoft. Also braucht auch keiner hinterher hier rumheulen, das er soviele Hacks eingebaut und soviel Arbeit hat.

Ich meine, ich hab ja selbst auch Hacks eingebaut, nur muss ich dann halt auch einkalkulieren, wenn ich Hacks eingebaut habe, das ich hinterher bei einem update auch vieleicht mehr Arbeit hab ;)

Sorry, das musste ich jetzt mal los werden :)

Du solltest lieber froh sein das Jelsoft so schnell auf solche Sicherheitslücken reagiert. Was ein Kunde nach dem Erwerb von vBulletin verändert, ist denke ich mal, jedem sein eigenes Problem und nicht das von Jelsoft. Also braucht auch keiner hinterher hier rumheulen, das er soviele Hacks eingebaut und soviel Arbeit hat.

Ich meine, ich hab ja selbst auch Hacks eingebaut, nur muss ich dann halt auch einkalkulieren, wenn ich Hacks eingebaut habe, das ich hinterher bei einem update auch vieleicht mehr Arbeit hab ;)

Sorry, das musste ich jetzt mal los werden :)
Sehr richtig. :)

So, vB 3.0.5 rennt erstmal einwandfrei. Hoffentlich tauchen diesmal keine nachträglichen Überraschungen auf. :)

Allerdings macht mir das hier etwas Sorgen:
http://www.vbulletin.com/forum/showpost.php?p=791549&postcount=126


Das würd mich jetzt aber auch interessieren.... :confused: :eek:

Wenn man keine eigenen Hacks/Veränderungen etc. eingebaut hat gehen die Updates immer schnell ;>

Ja - wenn man eine schnelle Anbindung hat und der Upload nicht ewig dauert so wie bei mir :(

Klärung zu dem Typo:
http://www.vbulletin.com/forum/showpost.php?p=791670&postcount=157

Ich warte lieber auf die 3.0.6, die wahrscheinlich morgen oder so rauskomme... ;)

2x in drei Tagen upgraden reicht mir aus.

Mystics Du schriebst:

was ist wenn dem nicht so ist?

mfg
frageDann musst du dir wegen der aktuellen Lücke keine Sorgen machen. Trotzdem solltest du die neue init.php verwenden.Wie jetzt... Is jetzt die Init.php eine neuere als vor ein paar Tagen Ja, siehe Ankündigung:Nehmen Sie bitte zur Kenntnis, dass diese Version die Datei von 3.0.4 ablöst.

gibt es eine liste welche dateien verändert wurden das würde einiges leichter machen

Dann musst du dir wegen der aktuellen Lücke keine Sorgen machen. Trotzdem solltest du die neue init.php verwenden.Ja, siehe Ankündigung:

So habs schon eingebaut und funzt 1a ;) ich hoffe so schnell kommen keine updates mehr! :eek: :D :rolleyes:

gibt es eine liste welche dateien verändert wurden das würde einiges leichter machenjap
http://www.vbulletin-germany.com/forum/showpost.php?p=91721&postcount=2
http://www.vbulletin-germany.com/forum/showpost.php?p=91722&postcount=3
http://www.vbulletin-germany.com/forum/showpost.php?p=91725&postcount=4

Okay, gerade installiert, Hacks wieder eingebaut und läuft. Hoffentlich kommt morgen nicht wieder ne neue Version :rolleyes:

so dann will ich mal. *uff* WinMerge qualmt schon.... :D

Danke h75 hat mir geholfen

Du solltest lieber froh sein das Jelsoft so schnell auf solche Sicherheitslücken reagiert.

Von schnell kann wohl keine Rede sein. Schliesslich gibt es die Sicherheitslücke offenbar seit Version 3.0.

Natürlich ist es richtig und gut, dass sobald eine Sicherheitslücke erkannt wurde, diese auch umgehend geschlossen wird.

Aber: Nicht nur hier im Forum gibt es zahlreiche Mitglieder, die in ihrer Freizeit teilweise sehr aufwändige Hacks schreiben und diese kostenlos mit Einauanleitungen zur Verfügung stellen. Wäre es da nicht möglich, eine ähnliche Anleitung auch für das Sicherheitsupdate seitens Jelsoft zur Verfügung zu stellen? Wäre es nicht möglich eine Lösung zu finden, die auch den Forums-Betreibern mit Hacks entgegen käme? Schliesslich sind es oft diese Hobby-Coder, die die Sicherheitslücken erst entdecken und die Weiterentwicklung der Software mit ihren Hinweisen vorantreiben.

Was ein Kunde nach dem Erwerb von vBulletin verändert, ist denke ich mal, jedem sein eigenes Problem und nicht das von Jelsoft.
Falsch! Jelsoft lebt von den Hacks!

Die Hacks machen das vb-Board attraktiv, regen zum Mitmachen an, fördern den Community-Gedanken, führen zu mehr Mitgliedern und bringen letztlich mehr Geld in die Kasse von Jelsoft! Deswegen sollte man die Interessen der Forumsbetreiber, die auf Hacks setzen, nie vernachlässigen.

Wenn also zwei Updates kurz aufeinander folgen, so ist das vielleicht erforderlich, aber damit noch lange nicht kundenfreundlich - erst recht nicht, wenn Ähnliches bereits zum zweiten Mal hintereinander passiert.

Gruß,
Chriss

Man könnte ja auch für alle die Hacks drinne haben wenn es kleienr udates sind nen changelog schreiben.

Falsch! Jelsoft lebt von den Hacks!

Naja, ganz so weit würde ich jetzt wirklich nicht gehen. Ich kenne genug vBulletins die gänzlich ohne Hacks arbeiten. Ich selbst hab früher auch anderen Boardsoftware teilweise deutlich mit Hacks "modifiziert". Inzwischen hab ich mich darauf beschränkt dieses auf das absolut Nötigste zu reduzieren (effektiv sind es bei mir 2 Hacks... wobei man bei dem einen nicht wirklich von einem Hack sprechen kann...) - eben um in Fällen wie diesen nicht ein Haufen Arbeit zu haben. Stabilität, Sicherheit und eine saubere Datenbank sind für mich das Wichtigste - alles andere sind für mich meist überflüssig Spielerein (nicht, dass es viele sehr sinnvolle Hacks gäbe... nur stellt sich schon die Frage, ob man das alles unbedingt braucht).

urgh~.~
ick werd dann mal updaten... heut nacht ;)

... und ich hab's noch vor ein paar Tagen im Thread des 3.0.4 updates geschrieben :D
Sollen wir noch 2 Tage warten ?
Vielleicht kommt ja noch ne 3.0.5 in den nächsten Tagen
... wäre nicht das erste Mal

Leider ist bei mir die Lizenz abgelaufen. Eine Überweisung dauert vom Ösiland bis Mitte nächster Woche.

Aus diesem Grund habe ich als Übergangslösung gerade die init.php getauscht. Da bekomme ich aber nur eine weisse Seite sonst nichts. :confused:

Welche Passwort-Daten sollten den auf dem eigenen Server geändert werden ? (welche Daten waren denn auf Grund des Fehlers auszuspähen) --> kann man an Hand der Logfiles erkennen, ob man betroffen ist ?

Welche Passwort-Daten sollten den auf dem eigenen Server geändert werden ? (welche Daten waren denn auf Grund des Fehlers auszuspähen) --> kann man an Hand der Logfiles erkennen, ob men betroffen ist ?Alle Daten, die du uns via Support-Ticket oder PN übermittelt hast. Waren das keine, dann musst du auch nichts ändern.

Dann musst du dir wegen der aktuellen Lücke keine Sorgen machen. Trotzdem solltest du die neue init.php verwenden.Ja, siehe Ankündigung:
oh mein Gott!
mein sysop hat mich nachdem ich die neue init raufgeladen habe fürchterlich zusammengepfiffen,
der hatte diese Sicherheitsloch nämlich bereits bevor wir online gingen-repariert...

*soifz*
also bereit ich in Ruhe das update vor,

lG
frage

Alle Daten, die du uns via Support-Ticket oder PN übermittelt hast. Waren das keine, dann musst du auch nichts ändern.

Hallo - nein - so war meine Frage nicht gemeint - was konnte auf meinem Server vielleicht ausgespäht werden und wie erkenne ich, ob ich "Opfer" wurde. Gerne Antwort auch als PN oder EMail :), wenn die Information hier zu heikel ist.

Moin,
nach einem gemütlichen Abendbrot, vor dem ich den Cronjob angworfen hab, der die DB gesichert und auf meinen Server hierher "EffTePeht" hat, hab ich das Update innerhalb von 1 Stunde hingebracht. Inkl. der Modifikationen, die auf unserem Board realisiert sind.
Feinheiten sind noch in Arbeit, aber 95% sitzen. Wo ist das Problem? Sicher wäre die eine oder andere Komfortabilität fein, aber derzeit ist es nunmal nicht so. Ich für meinen Teil und auch meine Mitbetreiber sind zufrieden mit dem Service, seitdem wir von vbulletin.com hierher gewechselt sind.
Bis auf einen Punkt :-): Wir haben (resp. ich) einen Punkt auch über Pogo oder Mystics eine Sache eingekübelt, die auch logisch erschien: Warum ist es bis heute nicht möglich, Nachrichten auch aus dem Postausgang (PN) in eigen angelegte Ordner zu verschieben? Das Ding landete auch schonmal im Bugtracker, aber Echo war irgenzwie -1.
Ansonsten: Danke und weiter so.

--
Gruss Thoki.

Hallo - nein - so war meine Frage nicht gemeint - was konnte auf meinem Server vielleicht ausgespäht werden und wie erkenne ich, ob ich "Opfer" wurde. Gerne Antwort auch als PN oder EMail :), wenn die Information hier zu heikel ist.Wayne hat das hier schön zusammengefasst:

http://www.vbulletin.com/forum/showpost.php?p=791915&postcount=200

@Thoki
Ich habe das Thema dazu bei vBulletin.com mal hochgeschoben.

wie gravierend ist die sicherheitslücke


reicht eventuell abschalten von register_globals aus

kann man irgendwelche infos zu der sicherheitslücke bekommen?

Hallo,

ich habe auch auf Version 3.0.5 upgedatet. Aber ich habe ein Problem. Ich kann meine Templates nicht mehr verändern. Wenn ich auf die Buttons verändern usw drücke, dann passiert nichts. Aufklappen und Zuklappen hingegen funktioniert. Hat einer von euch auch dieses dumme Problem oder kann mir Jemand sagen was da schief gelaufen ist?

Danke.

Mit freundlichen Grüßen
The Matrix

ich habe auch auf Version 3.0.5 upgedatet. Aber ich habe ein Problem. Ich kann meine Templates nicht mehr verändern. Wenn ich auf die Buttons verändern usw drücke, dann passiert nichts. Aufklappen und Zuklappen hingegen funktioniert. Hat einer von euch auch dieses dumme Problem oder kann mir Jemand sagen was da schief gelaufen ist?

Dann musst du deinen Browser-Cache leeren bzw. die Seite refreshen. Der Template-Editor geht auch problemlos mit Firefox.

Hallo,

ich habe auch auf Version 3.0.5 upgedatet. Aber ich habe ein Problem. Ich kann meine Templates nicht mehr verändern. Wenn ich auf die Buttons verändern usw drücke, dann passiert nichts. Aufklappen und Zuklappen hingegen funktioniert. Hat einer von euch auch dieses dumme Problem oder kann mir Jemand sagen was da schief gelaufen ist?

Danke.

Mit freundlichen Grüßen
The Matrix


das könnte dir helfen

http://www.vbulletin-germany.com/forum/showthread.php?t=14973&highlight=firefox

Hallo zusammen,
entgegen der Liste von pogo (http://www.vbulletin-germany.com/forum/showthread.php?t=15066) mit den Dateien die in Version 3.0.5 aktualisiert worden sind fehlt dort die Datei authorize.php aus dem subscriptions Verzeichnis welche seit der Version 3.0.4 nochmals geändert worden ist.
Wie gut das ich nicht immer das glaube was geschrieben wird und lieber selbst alle Dateien vergleiche :D

Bitte beachtet auch das neue geänderte Dateien hinzugekommen sind falls Ihr nur Eure aktualisierten 3.0.4 Dateien mit der Version 3.0.5 vergleicht!

Hallo zusammen,
entgegen der Liste von pogo (http://www.vbulletin-germany.com/forum/showthread.php?t=15066) mit den Dateien die in Version 3.0.5 aktualisiert worden sind fehlt dort die Datei authorize.php aus dem subscriptions Verzeichnis welche seit der Version 3.0.4 nochmals geändert worden ist.
Wie gut das ich nicht immer das glaube was geschrieben wird und lieber selbst alle Dateien vergleiche :D

Bitte beachtet auch das neue geänderte Dateien hinzugekommen sind falls Ihr nur Eure aktualisierten 3.0.4 Dateien mit der Version 3.0.5 vergleicht!

Welche sind denn neu?

Danke Metro Man,

jetzt klappt es.

Mit freundlichen Grüßen
The Matrix

@ Metro Man
Schau auf die Liste von pogo, da stehen alle Dateien drauf.... hoffe ich :D

@ Metro Man
Schau auf die Liste von pogo, da stehen alle Dateien drauf.... hoffe ich :D


danke da stehen zwar nur die geänderten nicht die komplett neuen aber okay habs auch so gefunden

Danke für die schnelle Änderung.
Ich habe zwar ragister_globals off, aber den init Patch habe ich mal eingespielt.
Ein Vollupdate mache ich wohl erst auf 3.1.0. :)

; You should do your best to write your scripts so that they do not require
; register_globals to be on; Using form variables as globals can easily lead
; to possible security problems, if the code is not very well thought of.
register_globals = Off gut. ich hab auch gerade mal nachgeschaut. im überigen hat sich vorgestern auf meinem server php von selbst updatet. :D Da Keyweb alle Server mit einer frischen Version versorgt hat. - GEIL ODER?
von Version 4.3.8 -> 4.3.10 :p

(..)
Falsch! Jelsoft lebt von den Hacks!

So sehe ich das auch.
Hacks-Möglichkeiten lagen meiner Kaufentscheidung zugrunde.


Die Hacks machen das vb-Board attraktiv, regen zum Mitmachen an, fördern den Community-Gedanken, führen zu mehr Mitgliedern und bringen letztlich mehr Geld in die Kasse von Jelsoft! Deswegen sollte man die Interessen der Forumsbetreiber, die auf Hacks setzen, nie vernachlässigen.

Als 08:15 User empfinde ich dieses Updatesystem als Zumutung.
Da muss nachgebessert werden.


Wenn also zwei Updates kurz aufeinander folgen, so ist das vielleicht erforderlich, aber damit noch lange nicht kundenfreundlich - erst recht nicht, wenn Ähnliches bereits zum zweiten Mal hintereinander passiert.

Amteurhaft ist das.

Grüße!

im überigen hat sich vorgestern auf meinem server php von selbst updatet. :D Da Keyweb alle Server mit einer frischen Version versorgt hat. - GEIL ODER?
von Version 4.3.8 -> 4.3.10 :p
Also arg wach sind die Junx bei Keyweb wohl nicht...
Schlund und Partner und sogar die heissgeliebten Junx und Mädelz von 1&1 haben den Update schon vor 3 Wochen eingespielt !

Hab geupdatet - alles bestens :)

Amteurhaft ist das.

Grüße!Bist du so PHP und MySQL versiert, das du dir es rausnehmen kannst, so eine krasse Anschuldigung/Beleidigung zu äussern?
Ich glaube kaum das von dem Jelsoft/Aducco Team ein Amateur ist.

War auch nach 17min fertig :D hatte bissal probs mim FTP Programm, aber ging dann doch wieder ;) natürlich ohne Hacks noch.. :D jaja..

Bist du so PHP und MySQL versiert, das du dir es rausnehmen kannst, so eine krasse Anschuldigung/Beleidigung zu äussern?
Ich glaube kaum das von dem Jelsoft/Aducco Team ein Amateur ist.
Wie schon geschrieben, ich betrachte mich als normalen/08:15 Benutzer.
Als solcher empfinde ich es schon als peinlich, wenn kurz nach einem Update gleich ein nächstes nachgeschoben wird.

Und um Beleidigen geht es hier ohne hin nicht, ich pflege keine Freundschaft zu Jelsoft, sondern betrachte mich als Kunde.

Sollte ich Jelsoft nun meine verloren gegangene Arbeitszeit in Rechnung stellen? Da ist es klar, das einige Leute verärgert sind! Oder?

Grüße!

Sollte ich Jelsoft nun meine verloren gegangene Arbeitszeit in Rechnung stellen? Da ist es klar, das einige Leute verärgert sind! Oder?

Grüße!Kannst du auch garnicht, da die Software laut Lizenz ein Verzicht auf Garantie beinhaltet.
Und um Beleidigen geht es hier ohne hin nicht, ich pflege keine Freundschaft zu Jelsoft, sondern betrachte mich als Kunde.Auch als Kunde kann man eine angemessene Wortwahl erwarten und wenn du schon sagst du bist ein 08:15 User, dann denke doch mal nach ob es überhaupt gerechtfertigt ist, dass du den Leuten von Jelsoft/Aducco ein amateurhaftes Verhalten vorwirfst.
Also ich bin zufrieden mit der Aufdeckung der Sicherheitslücke und begrüsse jedes Update was in der richtig gemacht wird und was viele auch vergessen, es reicht doch die (nicht sichere) Datei auszutauschen, es ist ja kein Update in dem Sinne nötig.

Jeder Admin sollte immer mit einem Update 2 Wochen warten und einfach nur die Sicherheitslücken schliessen, in dem er wie in diesem Update, einfach die init.php wechselt.

Update von 3.0.3 auf 3.0.5 völlig glatt gegangen.....

Hab aber noch in der includes/functions.php alte No Cache header eingebaut, sodass er die Page immer neu lädt....

Kannst du auch garnicht, da die Software laut Lizenz ein Verzicht auf Garantie beinhaltet.

Schon mal darüber nachgedacht ob das überhaupt möglich ist?
Ist ein Verzicht auf Garantie überhaupt rechtlich zulässig, oder verstößt das vielleicht gegen den Grundsatz von Treu und Gluben? Mal ganz laienhaft ausgedrückt.


Auch als Kunde kann man eine amgemessene Wortwahl erwarten und wenn du schon sagst du bist ein 08:15 User, dann denke doch mal nach ob es überhaupt gerechtfertigt ist, das du den Leuten von Jelsoft/Aducco ein amateurhaftes Verhalten vorwirfst.

Wehalb fühlst du dich überhaupt angesprochen?
Wie schon geschrieben, wenn ein Update kommt und kurz dannach das Update des Update, fragt man sich schon was das soll.


(..)Jeder Admin sollte immer mit einem Update 2 Wochen warten und einfach nur die Sicherheitslücken schliessen, in dem er wie in diesem Update, einfach die init.php wechselt.
Am Ende ist man immer schlauer :D

Bei mir ist das Update von 3.0.4 auf 3.0.5 auch ohne Probleme über die Bühne gegangen.

Wehalb fühlst du dich überhaupt angesprochen?
Wie schon geschrieben, wenn ein Update kommt und kurz dannach das Update des Update, fragt man sich schon was das soll.
Ich fühl mich nicht angesprochen, ich bin nur nicht deiner Meinung...., mich hat nur deine Wortwahl (Amateurhaft) gestört und ein vbulletin ist keine von Amateueren entwickelte Software.

Das ist wie im wahren Leben, wenn man von einer bestimmten Sache keine Ahnung hat, sollte man nicht Dinge äussern, die einfach nicht Stimmen, nur weil einem grade wieder die Gefühle durchgehen, oder man von Updates generft ist......
Weisst was ich mein!?

(..)
Das ist wie im wahren Leben, wenn man von einer bestimmten Sache keine Ahnung hat, sollte man nicht Dinge äussern, die einfach nicht Stimmen, nur weil einem grade wieder die Gefühle durchgehen, oder man von Updates generft ist......
Weisst was ich mein!?
Es schaut so aus, vB ist wohl auch für "normale" Leute wir mich gedacht, die, zugegeben, wenig Ahnung von der Materie haben. Stellt das ein Problem da? Wenn Jelsoft nur an Profis wie dich verkaufen möchte, dann muss Jelsoft das kund tun.
Als Kunde habe ich echt wenig Lust und Zeit mich durch Templates und Dateien zu kämpfen. Dir mag das Spass machen, mir nicht. Ich würde mir einfach paar Klicks wünschen und das Ding ist sicher(rer).

Updates, sind juristisch betrachtet, die Mängelbeseitigung eines fehlerhaften Produktes. Ähnlich einer Rückrufaktion bei Fahrzeugen!

Diese "komische" Updaterie ist einfach normalo-Kunde ungeeignet.


Grüße!

Wo ist denn das Problem, wenn du einfach mal die neuen Daten hochlädst und das upgrade startest?
Das sollte glaube ich jeder normale Kunde können ;)

Wegen den Templates zwingt dich doch keiner, die upzudaten.... und wenn, dann klickst du einfach auf wiederherstellen (wenn du die nicht verändert hast..)

Dateien zu kämpfen. Dir mag das Spass machen, mir nicht. Ich würde mir einfach paar Klicks wünschen und das Ding ist sicher(rer).

Updates, sind juristisch betrachtet, die Mängelbeseitigung eines fehlerhaften Produktes. Ähnlich einer Rückrufaktion bei Fahrzeugen!

Diese "komische" Updaterie ist einfach normalo-Kunde ungeeignet.


Grüße!He he du wirst lachen aber ich habe auch keine Ahnung von PHP und MySQL, nur ich sehe die Sache ein wenig anders wie du. Fakt ist das es keine fehlerfreie Software gibt und Updates einfach notwendig sind, wenn Fehler gefunden werden.
Und es hat keine Ähnlichkeit wie bei Autos.
Aber was solls, du hast deine Meinung gesagt, ich habe meine Meinung gesagt und es wird nichts daran ändern, das es so ist wie es ist.. :)

Ja,
- das ist es ja,
- - was es ist,
- - - weil es so ist,
- - - - wie es ist... :D

(..)
Fakt ist das es keine fehlerfreie Software gibt und Updates einfach notwendig sind, wenn Fehler gefunden werden.(..)

Fehler im Produkt sind aber nicht die Verfehlung der Kunden, oder?

Fehler im Produkt sind aber nicht die Verfehlung der Kunden, oder?Nochmal, ich kann deinen Missmut wegen den Updates verstehen, was mir aber ein Dorn im Auge war, ist die Entwickler als Amateure zu betiteln, nicht mehr und nicht weniger...........und du hast sie als Amateure bezeichnet und ich sehe es halt anders. ;)

Nochmal, ich kann deinen Missmut wegen den Updates verstehen, was mir aber ein Dorn im Auge war, ist die Entwickler als Amateure zu betiteln, nicht mehr und nicht weniger...........und du hast sie als Amateure bezeichnet und ich sehe es halt anders. ;)
Nicht die Entwickler persönlich, sondern die Arbeitsweise, bzw. die Qualitätssicherung.

Nicht die Entwickler persönlich, sondern die Arbeitsweise, bzw. die Qualitätssicherung.Nunja das ist für mich das selbe... ;)

Fehler im Produkt sind aber nicht die Verfehlung der Kunden, oder?

Was kann eine Firma die Software herstellt dafür, wenn Tage später ein Hacker kommt und ne neue Lücke findet? Die Jungs hier leisten wirklich ne 1a arbeit, die man wirklich anerkennen muß... Das sind im endefeckt alles nur Menschen die ihre Arbeit nachgehen und das machen se toll wie immer..

Was kann eine Firma die Software herstellt dafür, wenn Tage später ein Hacker kommt und ne neue Lücke findet? Die Jungs hier leisten wirklich ne 1a arbeit, die man wirklich anerkennen muß... Das sind im endefeckt alles nur Menschen die ihre Arbeit nachgehen und das machen se toll wie immer..
Ein kundenfreundliches Updatesystem zur Verfügung stellen, unter Berücksichtigung aller Hacks etc.?

(...)
Falsch! Jelsoft lebt von den Hacks!

Die Hacks machen das vb-Board attraktiv, regen zum Mitmachen an, fördern den Community-Gedanken, führen zu mehr Mitgliedern und bringen letztlich mehr Geld in die Kasse von Jelsoft! Deswegen sollte man die Interessen der Forumsbetreiber, die auf Hacks setzen, nie vernachlässigen.

Wenn also zwei Updates kurz aufeinander folgen, so ist das vielleicht erforderlich, aber damit noch lange nicht kundenfreundlich - erst recht nicht, wenn Ähnliches bereits zum zweiten Mal hintereinander passiert.
Persönlich bin ich Meinung, dass Jelsoft und auch das Team von vBulletin-Germany wirklich gute Arbeit leistet. Es ist doch nur zu begrüßen das die Vertreiber der Forensoftware und der deutsche Support auf aktuelle Sicherheitslücken reagieren. Jeder Hack stellt schon eine Sicherheitslücke in sich dar und ob diese Fremdeinarbeitungen in den Basiscode des Forums nun unbedingt darüber entscheiden wie attraktiv eine Community ist mag ich mal im Raum stehen lassen. Persönlich finde ich es richtig wie Jelsoft und VB-GER vorgehen, denn sie betreuen das Basisprodukt Vbulletin und für den Rest sind die Forenbetreiber zuständig.

Gruß Vader :)

Ich hab jetzt seit Juli letzten Jahres mein VB in der 3.0.3 laufen und muß sagen, ich hab noch nie soviel und so schnell gleich vier Programmiersprachen gelernt (PHP, JAVA, HTML und MySQL) wie in diesem halben Jahr.

Aber kann mir mal bitte jemand verraten, was es für einen Unterschied macht, ob ich jetz RegisterGlobals on oder off stehen habe?

Die Frage wurde in diesem Thread ja nun schon mehrmals gestellt und ist anscheinend überlesen worden.
Ich hab RegisterGlobals auf meinem Webhost auf on stehen, kann aber nicht sagen, daß bzw. ob ich überhaupt schon deswegen Probleme hatte.
Und da das anscheinend eine so kritische Einstellung ist, wage ich ehrlich nicht, das einfach mal "auszuprobieren".

Wäre also schön, wenn dazu mal jemand was sagen kann, scheint ja schon wichtig zu sein.

Greetz und Thx,
vom SamJo

Wenn Du register_globals = on in deiner php.ini stehen hast, dann bedeutet es nichts weiter, als daß Variablen der Form http://www.meinforum.de/showthread.php?password=0815&user=root auch als solche Variablen im Code verwendet werden (also als Variable $user und $password)

Dies stellt eine potentielle Sicherheitslücke dar.

Bei register_globals = off (was dringend seit einer ganzen Weile vom PHP-Team empfohlen wird) werden diese Variablen im Code als $_REQUEST[user] und $_REQUEST[password] zur Verfügung gestellt und so kann ein potentieller Angreifer nicht mehr ohne Weiteres in das Codegeschehen eingreifen.

Dies mal als Kurzform.

Das heißt dann also, ich muß alle Variabeln $variable in $_REQUEST[variable] ändern?

Da müssen ja dann sämtliche Templates angepaßt werden?!

Oder geht es nur um $user und $password ??

Ich find es einfach nur lustig. Da wird das Team hier als Amateuerhaft und was weiß ich noch alles bezeichnet von Leuten die zu 90 % Windows auf ihren Heimrechnern einsetzen. Gegen das wird aber nicht protestiert obwohl es Monate dauert bis dort Sicherheitslücken behoben werden. Ich hol mir mal ne Tüte Popcorn und ne Cola und amüsiere mich hier kräftig weiter. :D

just my 0,02 ¢

Das heißt dann also, ich muß alle Variabeln $variable in $_REQUEST[variable] ändern?

Da müssen ja dann sämtliche Templates angepaßt werden?!

Oder geht es nur um $user und $password ??

Ohne Dir zu Nahe treten zu wollen: Ich dachte, Du hast Dich mit PHP auseinandergesetzt im letzten halben Jahr?!

Es geht darum, daß man über POST und GET Variablenwerte in schlecht geschriebenen Code einschleusen kann, wenn register_globals auf on gesetzt ist.


Ist es auf Off gesetzt, so werden die Werte lediglich als $_REQUEST[XY] übergeben, bzw. auch als $_POST[XY] oder $_GET[xy], je nach verwendetem Verfahren (bei $_REQUEST[xy] ist das verwendete Verfahren unwichtig, bzw. wird ignoriert).

sind register_globals auf on, so werden die Variablen zusätzlich auch direkt an das Skript übergeben, also als $xy.

Dies stellt eine theoretische Sicherheitslücke dar und kann, je nachdem wie der Code geschrieben wurde und ob er öffentlich bekannt ist, eine ernsthafte Bedrohung darstellen.


Aus diesem Grund empfiehlt das PHP-Team seit ca. 2-3 Jahren, daß man register_globals auf off setzt.


Was die kurzen Updateintervalle betrifft:
Mir ist es lieber, daß schnell gehandelt wird, als daß man lange schweigt und so lange die Lücke offen bleibt.

Was mich hingegen etwas verärgert ist der zu spät abgesandte Newsletter, den ich extra abonniert hatte um rechtzeitig informiert zu sein (für 3.0.4 gab es keinen, kann das sein?)

ich hab für 3.0.4 und 3.0.5 einen newsletter bekommen

Ohne Dir zu Nahe treten zu wollen: Ich dachte, Du hast Dich mit PHP auseinandergesetzt im letzten halben Jahr?!
Ich könnte jetzt pikiert die Nase rümpfen, ich könnte Dir aber auch einfach erklären, daß sich das Programmier-Sprachen-Lernen bei mir auf "Learning-By-Doing" kombiniert mit "Watt kütt, datt kütt" beschränkt. Und da ist mir bisher eben einfach das Thema "RegisterGlobals" noch nicht dazwischen gekommen.
Es geht darum, daß man über POST und GET Variablenwerte in schlecht geschriebenen Code einschleusen kann, wenn register_globals auf on gesetzt ist.


Ist es auf Off gesetzt, so werden die Werte lediglich als $_REQUEST[XY] übergeben, bzw. auch als $_POST[XY] oder $_GET[xy], je nach verwendetem Verfahren (bei $_REQUEST[xy] ist das verwendete Verfahren unwichtig, bzw. wird ignoriert).

sind register_globals auf on, so werden die Variablen zusätzlich auch direkt an das Skript übergeben, also als $xy.

Dies stellt eine theoretische Sicherheitslücke dar und kann, je nachdem wie der Code geschrieben wurde und ob er öffentlich bekannt ist, eine ernsthafte Bedrohung darstellen.


Aus diesem Grund empfiehlt das PHP-Team seit ca. 2-3 Jahren, daß man register_globals auf off setzt.

[...]Also kann ich das jetzt einfach mal ausprobieren? Zumal auch in einem anderen Thread stand, daß das eher mit älterem und unsauberem Code problematisch wird, da VB aber schon sauber geschrieben ist.

Ok, mach ich dann mal, muß jetzt nur ne halbe Stunde warten, bis mein SysOp-Tool das umsetzt.

Ich werd´s dann gleich mal posten, ob ich damit Probleme krieg.

Was mich hingegen etwas verärgert ist der zu spät abgesandte Newsletter, den ich extra abonniert hatte um rechtzeitig informiert zu sein (für 3.0.4 gab es keinen, kann das sein?)

fADDUCO E-BULLETIN
http://www.vbulletin-germany.com/
6. Januar 2005

~ Ein frohes neues Jahr 2005
~ vBulletin 3.0.4 (Deutsch) veröffentlicht ~ Feedback / Vorschläge ~ Ihre Lizenz-Informationen ~ Kontakt


Also als Kunde fühlte ich mich mehr als rechtzeitig informiert. Fehler passieren, das schnell darüber informiert und eine Lösung geboten wurde, überzeugt mich zudem, das ich mit meinen Foren auf die richtige Software und das richtige Team gesetzt habe. Amteurhaft ist wahrlich nicht der ausdruck, der hier angebracht ist. Kundeffm könnt ja mal einen Link zu seinem proffesionellen Board geben, damit überhaupt erstmal klar wird, ob er wirklich Kunde oder Troll ist. Besonders im Hinblick auf folgenden Satz, kann ich mir ein schallendes Lachen nicht verkneifen: "Ein kundenfreundliches Updatesystem zur Verfügung stellen, unter Berücksichtigung aller Hacks etc.?" Wenn ich mir ein Auto kaufe und das tune, kann ich anschließend auch nicht zum Hersteller laufen und was von Kundenfreundlichem Update bei Berücksichtigung aller Tuningteile erzählen. Da bekäme der auch Tränen ... vor Lachen.

Ich möchte mich auch beim vBulletin Team bedanken. Beide Updates haben bei mir ohne Probleme funktioniert. Inklusive der kleinen Hacks zu überprüfen und natürlich Erstellung der Backups habe ich jeweils nur 40 Minuten benötigt.

(..)
Kundeffm könnt ja mal einen Link zu seinem proffesionellen Board geben, damit überhaupt erstmal klar wird, ob er wirklich Kunde oder Troll ist.

Mein Forum ist nicht online.


Besonders im Hinblick auf folgenden Satz, kann ich mir ein schallendes Lachen nicht verkneifen: "Ein kundenfreundliches Updatesystem zur Verfügung stellen, unter Berücksichtigung aller Hacks etc.?" Wenn ich mir ein Auto kaufe und das tune, kann ich anschließend auch nicht zum Hersteller laufen und was von Kundenfreundlichem Update bei Berücksichtigung aller Tuningteile erzählen. Da bekäme der auch Tränen ... vor Lachen.
Wenn ich in "meinen" Audi RS4 einen Chip einbaue und Audi ruft das Modell wegen eines Defektes an der Benzinpumpe zurück, dann werden meine Tuningmaßnahmen auch nicht rückgängig gemacht. Ferner kaufe ich mir einen RS4 eben wegen der Möglichkeit des Chiptunings.

Was den Newsletter betrifft, habe ich eben nochmal nachgeschaut.

Über die Feiertage hat mein Thunderbird einige Zicken gemacht und der Newsletter lag im Spam-Ordner rum, sorry for this.

register_globals = off sollte problemlos klappen, sofern du nicht noch andere, selbst geschriebene Skripte auf dem Server liegen hast, die das nicht berücksichtigt hatten.

@Kundeffm:
Dein Vergleich hinkt deutlich.

Du musst Dir das soo vorstellen:
Du bekommst von Audi die Benzinpumpe zugeschickt, samt einer Installationsanleitung für einen normalen Audi.


Alle Hacks zu berücksichtigen bei Updates ist vollkommen unmöglich und würde kein erfahrener Programmierer verlangen, so etwas kann nur von einem Laien kommen, aber...

Evtl. wäre es sinnvoll Schnittstellen für Hacks anzubieten, so daß der Basiscode gar nicht mehr oder nur noch höchst selten angefasst werden muss.

Für Termplateanpassungen könnte man sich eine Syntax überlegen à la

<html>
<normaler vbcode>
<!-- Hack Mod on mode=new-->
<mein ergänzter Templatecode>
<!--Hack Mod off-->
<normaler vbcode>
<!-- Hack Mod on mode=replace value=navbar-->
<mein ersetzter Templatecode>
<!--Hack Mod off-->

So etwas wäre aber vermutlich sehr aufwendig, aber äusserst cool.

Dann gäbe es noch die Option an alle HAck-Autoren keine Original-Datenbanktabellen von vBulletin zu ergänzen oder zu modifizieren, sondern lediglich welche hinzuzufügen.

Dies geht zwar minimal auf die Performance, bietet dafür aber eine gewisse Aufwärtskompatibilität.

Wenn ich in "meinen" Audi RS4 einen Chip einbaue und Audi ruft das Modell wegen eines Defektes an der Benzinpumpe zurück, dann werden meine Tuningmaßnahmen auch nicht rückgängig gemacht. Ferner kaufe ich mir einen RS4 eben wegen der Möglichkeit des Chiptunings.


Nein, höchstwahrscheinlich ist eh die Gewährleistung erloschen, wenns der Techniker bemerkt und genau das passt auch bei Software. ;-) Im übrigen kann die Möglichkeit der technische Anpassung ein Kaufargument sein, darf aber keinesfalls das Hauptargument sein, denn dann hast du die falsche Software gekauft - für andere Foren gibt es weit mehr Möglichkeiten sie zu ändern - zum andern steht - grad im Hinblick auf den Preis für das vB - wohl eher im Vordergrund, eine stabile und ausgereifte Software zu bekommen.

Mein Forum ist nicht online.

Jo, so 'ne Antwort hab ich erwartet. Die, die's am wenigsten betrifft, machen das größte Fass auf. http://www.vbulletin-germany.com/forum/images/icons/icon14.gif

(..)
@Kundeffm:
Dein Vergleich hinkt deutlich.

Du musst Dir das soo vorstellen:
Du bekommst von Audi die Benzinpumpe zugeschickt, samt einer Installationsanleitung für einen normalen Audi.

Dann würde ich Audi das selbe wie JelSoft sagen, das Zuschicken der Benzinpumpe ist kundenunfreundlich. Nicht jeder Kunde hat die Zeit und das Wissen die Pumpe zu verbauen. Ausserdem, weshhalb sollte ich meine Zeit aufwenden um einen Fehler von Audi zu beheben?


(..)
So etwas wäre aber vermutlich sehr aufwendig, aber äusserst cool.

Was sagen die Anderen dazu?

Nein, höchstwahrscheinlich ist eh die Gewährleistung erloschen,

Die Gewährleistung hat doch nichts damit zu tun!

Die Benzinpumpe wird trotzdem von Audi getauscht, denn es handelt sich dabei um einen Konstruktionsfehler und nicht um einen Fehler, denn mein Chip verursacht hat.

Ich möchte auch bei Jelsoft keine Gewährleistungsansprüche geltend machen. Ich habe eine vereinfachte UpdateRoute anregen wollen. Ich denke, als Kunde und Benutzer ist das auch mein gutes Recht.


Im übrigen kann die Möglichkeit der technische Anpassung ein Kaufargument sein, darf aber keinesfalls das Hauptargument sein,

Diese Entscheidung sei ruhig den Kunden überlassen.


denn dann hast du die falsche Software gekauft - für andere Foren gibt es weit mehr Möglichkeiten sie zu ändern - zum andern steht - grad im Hinblick auf den Preis für das vB - wohl eher im Vordergrund, eine stabile und ausgereifte Software zu bekommen.

Ich finde das vB schon toll.
Die Einstellmöglichkeiten sind enorm, die Installation war problemlos.


Jo, so 'ne Antwort hab ich erwartet. Die, die's am wenigsten betrifft, machen das größte Fass auf. http://www.vbulletin-germany.com/forum/images/icons/icon14.gif
Das kannst du nicht wissen. Mein Forum war fertig online zu gehen, nach diesem Updatedebakel warte ich erstmal ab, bevor ich weiter mache.

So ich habs auch hinter mir. Habe erstmals die umbenannten Dateien vor dem Upgrad in der "vbulletin-style.xml" geändert. So brauche ich nicht die Templates editieren. Und weiter habe ich mir eine Liste erstellt, der dateien, die Veränderungen auf grund von Hacks erhalten. Echt. Wenn man sich nen Plan macht, ist es echt einfach. Und das mit der vbulletin-style.xml, das vor dem Upgrade zu ändern, war ne echt gute Idee. Mal sehen, vielleicht baue ich alle Template Änderungen demnächste vor dem Upgrade dort ein :D

vBulletin Veränderungen für Halloo.de
(geänderte Dateien)
----------------------------------------
/admincp/
/admincp/admincalendar.php
/admincp/adminreputation.php
/admincp/attachment.php
/admincp/backup.php
/admincp/index.php
/admincp/misc.php
/admincp/moderator.php
/admincp/stats.php
/admincp/thread.php
/admincp/user.php
/admincp/usertools.php

/archive/index.php
/archive/archive.css

/clientscript/vbulletin_thrdpostlist.js
/clientscript/vbulletin_global.js

/includes/adminfunctions.php
/includes/adminfunctions_reminder.php
/includes/adminfunctions_template.php
/includes/config.php
/includes/functions.php
/includes/functions_bbcodeparse.php
/includes/functions_calendar.php
/includes/functions_databuild.php
/includes/functions_forumdisplay.php
/includes/functions_forumlist.php
/includes/functions_newpost.php
/includes/functions_online.php
/includes/functions_reputation.php
/includes/functions_showthread.php

/modcp/deletedposts.php
/modcp/forum.php
/modcp/moderate.php
/modcp/thread.php

calendar.php -> c.php
editpost.php -> e.php
external.php
forumdisplay.php -> f.php
global.php
index.php
login.php -> l.php
member.php -> m.php
memberlist.php -> ml.php
newattachment.php
newreply.php -> r.php
newthread.php -> n.php
poll.php
postings.php
printthread.php -> d.php
profile.php
register.php
report.php
search.php -> s.php
sendmessage.php -> k.php
showthread.php -> t.php
subscription.php
threadrate.php
usernote.php

So ich habs auch hinter mir. Habe erstmals die umbenannten Dateien vor dem Upgrad in der "vbulletin-style.xml" geändert. So brauche ich nicht die Templates editieren. Und weiter habe ich mir eine Liste erstellt, der dateien, die Veränderungen auf grund von Hacks erhalten. Echt. Wenn man sich nen Plan macht, ist es echt einfach. Und das mit der vbulletin-style.xml, das vor dem Upgrade zu ändern, war ne echt gute Idee. Mal sehen, vielleicht baue ich alle Template Änderungen demnächste vor dem Upgrade dort ein :D


Ich habe heute Nacht auch zwei Boards aktualisiert. Die Liste mit den geänderten Dateien durch Hacks habe ich mir auch erstellt um bei späteren Updates gleich sehen zu können ob ich die Datei überhaupt mit einem Vergleichsprogramm wie Beyond Compare überprüfen muss oder mir das sparen kann. Das Problem bei vB3 sind halt die Lizenznummern und auch das Downloaddatum bzw. Revisionsnummern die jede Datei gleich als "geändert" darstellen lassen obwohl der Inhalt, also das eigentliche php gar nicht geändert ist.
Würde man diese Daten wieder draussen lassen (dürfen?) wäre ein erweitertes Board leichter upzudaten ;)

Ich habe vor dem Update erstmal alle Styles, Phrasen bzw. Sprachen heruntergeladen (gesichert), auch diese vom Master Style und Master language und nach dem Update erstmal verglichen damit ich mal grundsätzliche diesen Zusammenhang der Dateien verstehe.
Der Tip mit den Templateänderungen und Phrasen im Masterstyle war gut, ich hatte zig Änderungen am Masterstyle vorgenommen die nachher nicht mehr da waren, aber dank der Sicherung diese Dateien konnte ich diese dann ganz schnell wieder im Benutzerdefinierten Style herstellen.

Für den nächsten Update werde ich dann erstmal die vbulletin-language-DE-Du.xml mit meinen eigenen Änderungen versehen damit diese gleich nach dem Update einfach eingespielt werden kann und dann sofort aktuell ist. Das hatte ich diesmal noch nicht gemacht und nach dem Einspielen dieser Datei waren meine Änderungen erstmal futsch.
Man lernt halt nie aus :D

Ich habe noch ein Board vor mir und nach dem Update dieses Forum wird meine eigene zusammengeschriebene Updateanleitung wohl passen. Wenn das alles klappt werde ich diese mal hier veröffentlichen und anderen Leuten den update etwas zu vereinfachen. Die Anleitung von Jelsoft/Adduco kann man eigentlich nur bei unbehackten Board verwenden und sobald nur eine Änderung gemacht worden ist kann man diese Anleitung nicht gebrauchen.
Auch der Tip mit der Datenbanksicherung vor der Update ist eigentlich für die Katz da ich nachher nicht anfange eine 600MB Größe Datei vom Server zu saugen und dann mit einem Editor im SQL anfange nach meinen Änderungen zu suchen die fort sind...
Sicherung bzw. herunterladen der Styles und der Sprachen hilft da vorab schon viel mehr.
Man sollte auch darauf achten, dass Hacks korrekt installiert werden. Ich habe viele Hacks bei mir entdeckt die sich so installiert haben das nach einem Update die settinggroup Einträge weg waren da er sich mit volatile 1 installiert hat anstelle von volatile 0 !
Solche Dinge sollte man vor einem Update prüfen und ggf. ändern damit diese nicht vom Update überschrieben werden.

Was sagen die Anderen dazu?

Ich kann L-B und Co nur zustimmen. Jelsoft ist für hacks net verwantolich. Ich persönlich finde das vb so wie es ist mehr als gut genug und ich selbst hab auch keine Hacks installiert und hatte beide Updates dann auch jeweils innerhalb keiner 5 Minuten drauf.

Das mit dem Argument Auto zählt net unbedingt. :)

Das Problem bei vB3 sind halt die Lizenznummern und auch das Downloaddatum bzw. Revisionsnummern die jede Datei gleich als "geändert" darstellen lassen obwohl der Inhalt, also das eigentliche php gar nicht geändert ist.
http://www.vbulletin-germany.com/forum/showthread.php?t=15112 :D

Bevor man Software herausbringt ist es sinnvoll zu testen. Zu testen und nochmal zu testen. Ach ja, ich vergaß. Zu testen! Vielleicht sollte sich vbulletin mal stärker um automatisierte Tests und sinnvollen Software-Freeze Stragegien bemühen. Trägt auch zur Kundenzufriedenheit bei, wenn sie nicht täglich Updates machen müssen, weil Securityprobleme wenige Stunden nach einem Release eintreten.

Bevor man Software herausbringt ist es sinnvoll zu testen. Zu testen und nochmal zu testen. Ach ja, ich vergaß. Zu testen! Vielleicht sollte sich vbulletin mal stärker um automatisierte Tests und sinnvollen Software-Freeze Stragegien bemühen. Trägt auch zur Kundenzufriedenheit bei, wenn sie nicht täglich Updates machen müssen, weil Securityprobleme wenige Stunden nach einem Release eintreten.


Vor allem auch, weil vB sehr viel dafuer kann, wenn kurz nach dem Release eine Schwachstelle in PHP bekannt wird.

Ich finde edi reaktion von dem Entwicklerteam super wenn ein fehler bekannt wird wurde er nicht tod geschwiegen wie bei anderen sondern gehandelt wird.

Wow. zur Zeit gibt es ja einen echten Sicherheitslückenmarathon ...

Viele Grüße
hj

Ich änder lieber tgl mal ne Datei, als wenn da eines Tages, wenn ich auf mein Board will steht: Du kumscht hier net rein.. :rolleyes:

Na das ist doch mal Service! Danke und ein großes Lob von mir an das Team, sowohl für den verlinkten Thread als auch für die Update-Anleitung zur Behebung der XSS-Lücke, sogar noch um 4 Uhr nachts. :)
Ich sehe überhaupt keinen Grund zu meckern, wenn Patches schnellstmöglich rausgebracht werden.

Zum leidigen Thema register_globals nochmal eine grundlegende Tatsache, die anscheinend einigen unbekannt ist: Wenn jemand ein einziges Projekt hat, das unbedingt register_globals benötigt, ist das noch lange kein Grund, register_globals global anzuschalten. Man kann es global deaktivieren und z.B. in einem directory-Container in der httpd.conf per php_admin_value register_globals 1 selektiv einschalten.

Ich änder lieber tgl mal ne Datei, als wenn da eines Tages, wenn ich auf mein Board will steht: Du kumscht hier net rein.. :rolleyes:

Jo :) Ich finde es nur zur Zeit witzig (Jelsoft und Adduco wohl weniger).

Vielen Dank auf alle Fälle für die schnellen Infos und Fixes, auch wenns nervt :)

Viele Grüße
hj

Ich bin irritiert, vielleicht sollten Bugfixes und Upgrades mal von Security-Patches getrennt werden ...

Security-Patches können gerne jeden Tag sein, ne neue Version mach ich nur, wenn sich das lohnt, sprich die reparierten Bugs mein Problem lösen usw.


3.0.2 und 3.0.4 waren "Lachnummern", hoffe, dass sowas nun vorbei ist ;)



Trotzdem DANKE für die neue Version :)

Ich kann nur sagen das das Team volle Arbeit leistet. Ich habe schon mehrere andere Foren im Betrieb gehabt, da hat es wesentlich länger gedauert bis eine Sicherheitslücke geschlossen wurde!

Gruß

Jochen

sag mal danke für den tollen service! :)

mich stört es nicht im geringsten,
hauptsache sicher.

Dito :)

In meinem Board (v3.0.3) habe ich die init.php von der Version 3.0.4 überschrieben. Ist das Board nun sicher oder nicht?

P.s.: register_globals ist off

P.s.: register_globals ist offDann ja.

Führe ein Update auf die Version 3.0.5 aus, wenn du ganz sicher gehen willst. Deine Fragen sind übrigens in den Release Notes (http://www.vbulletin-germany.com/forum/showthread.php?t=15066) beantwortet.

Wenn du bei 3.0.4 bleiben willst, solltest du allerdings folgenden Patch anwenden:
http://www.vbulletin-germany.com/forum/showpost.php?p=92081&postcount=6

Das Upgrade war relativ unproblematisch wie die vorherigen auch.
Hatte allerdings gelesen dass man evtl. veränderte Templates wiederherstellen müsste, verstehe es allerdings noch nicht ganz genau warum.

Allerdings habe ich beim Versuch es zu verstehen etwas im Admincp entdeckt.
Als ich unter Styles & Templates--->Aktualisierte Templates suchen
einmal nach den aktualisierten Templates suchte, war ich etwas verwirrt.
Erstens wurden mir für den Hauptstyle 3 bearbeitets Templates angezeigt, für den zweiten 4 und für die 2 anderen jeweils eines.

Allerdings irritierte mich folgendes:
postbit_legacy
Das Standard-Template wurde zuletzt in vBulletin 3.0.2 von freddie aktualisiert.
Ihr verändertes Template wurde zuletzt in vBulletin 3.0.1 von 3rdwave bearbeitet.

Dies ist ein Beispiel aus dem Hauptstyle, 3rdwave bin ich, aber wer ist Freddie?
Nur ich alleine habe Zugriff auf mein Admincp.
War jemand in meinem Admincp?

Bitte um Rat wegen dieser 2 Geschichten, danke.

verstehe es allerdings noch nicht ganz genau warum.Weil manche Original-Templates eben verändert wurden - siehe Ankündigung. Und wenn du genau diese Templates auch verändert hast, bekommst du von der Änderung in den Original-Templates nichts mit, weil weiterhin deine geänderten, veralteten Versionen verwendet werden.aber wer ist Freddie?Ein vBulletin-Entwickler ;)

Und er war eben der letzte, der das Standard-Template zuletzte verändert hat. Das wird in der XML-Datei gespeichert.

aber wer ist Freddie? Oder anders: Doktor Freddie :rolleyes:

z.b.
usernote:

Dieses Template wurde weder in diesem noch in einem Oberstyle verändert.

Klicken Sie doppelt auf den Templatenamen oder einfach auf 'Verändern', um das Template in diesem Style und in seinen Unterstyles zu verändern.

Zuletzt geändert am 16. Januar 2004 um 20:52 von freddie

ok, habe verstanden, also sollte ich bei den Aktualisierte Original-Templates auf wiederherstellen klicken um auf dem aktuellen Stand zu sein?
Bin ja beruhigt dass ich jetzt weis wer Freddie ist...

ok, habe verstanden, also sollte ich bei den Aktualisierte Original-Templates auf wiederherstellen klicken um auf dem aktuellen Stand zu sein?
Ja, richtig.

hallo,
als neuling weiß ich leider nicht wie das update funktioniert. da steht in der beschreibung, ich soll das upload-verzeichnis komplett hochladen, aber wenn ich die zip-datei entpacke, habe ich keine verzeichnisse, dann habe ich nur einzelne dateien - und zwar viel mehr, als jetzt in meinem forum außerhalb der ordner drin sind.
außerdem weiß ich dann doch gar nicht, in welches unterverzeichnis ich die einsortieren muss.
und da sind auch ziemlich viele index.html, die sich gegenseitig überschreiben wollen...
wer kann mir helfen?
oder habe ich die falsche zip-datei runtergeladen? ich habe sie aus dem kundenbereich unter vb 3.0.5 runterladen.
verzweifelter gruß,
anne

sorry, blöde frage, war wohl schon die richtige datei, aber beim entzippen hat das programm die komplette ordnerstruktur entfernt und so war alles ohne unterordner...
aber jetzt hab ichs hoffentlich :-)
bin ja mal gespannt.
gruß,
anne

oder habe ich die falsche zip-datei runtergeladen? ich habe sie aus dem kundenbereich unter vb 3.0.5 runterladen.
verzweifelter gruß,
anne du hast lediglich die Archiv-Datei falsch entpackt oder noch nicht. Klick auf "extrahieren".. Welches Packprogramm nutzt du zum entpacken? Am besten wäre wohl WinZIP oder WinRAR

http://www.winzip.de/
http://www.winrar.de/

danke für die schnelle antwort, aber wie ich im beitrag vorher schon beschrieben habe und wie du richtig erkannt hast, habe ich einfach nur das falsche programm zum entpacken benutzt. :-(

aber mittlerweile ist das forum schon auf dem neusten stand. scheint alles funktioniert zu haben. nur die umlaute waren mal wieder zu hieroglyphen geworden...
...aber das hatte ich ja schon mal... ...und die lösung dazu auch... ...klappt also alles
allerdings hätte ich gedacht, dass das vb - team den fehler behoben hätte. so wie sie es damals beim support versprochen haben.
aber sonst war alles super, ein paar selbst gebastelte phrasen waren weg. das lag aber an dem umlautproblem. klappt dann hoffentlich beim nächsten update ohne probleme ;-)

bei einem User der schon 5 Post geschrieben hat, werden aber o angezeigt.
Wie kann das sein, bei den anderen geht es.

Fehler ist jetzt mit 3.0.5 und der neuen private.php aufgekommen ?!!!???


Grüße
Darkdiver

bei einem User der schon 5 Post geschrieben hat, werden aber o angezeigt.

Hast Du mal versucht, die Zähler im ACP zu aktualisieren?
Sind ggf. Beiträge des User gelöscht worden oder hast Du an dem User bei seinen Einstellungen etwas verändert? Werde in dem entsprechenden Forum denn auch die Beiträge gezählt?

allerdings hätte ich gedacht, dass das vb - team den fehler behoben hätte. so wie sie es damals beim support versprochen habenDies wird in der nächsten "größeren" Version geändert. Weder 3.0.4, noch 3.0.5 waren geplant.

Ist euch aufgefallen, das erst 19 User die neue init.php runtergeladen haben?
http://www.vbulletin-germany.com/forum/showthread.php?t=15066

Bisschen wenig oder?

Ist euch aufgefallen, das erst 19 User die neue init.php runtergeladen haben?
http://www.vbulletin-germany.com/forum/showthread.php?t=15066

Bisschen wenig oder?


viele haben vielleicht, so wie ich, das komplette paket runtergeladen und von dort die neue version genommen....

Joh aber schau doch ma durch, wer den schon alles aktualisiert hat. Die meisten boards die ich kenne, min. 40 haben alle noch nicht aktualisiert. Habe denen aber nen Link gesendet via ICQ.

Joh aber schau doch ma durch, wer den schon alles aktualisiert hat. Die meisten boards die ich kenne, min. 40 haben alle noch nicht aktualisiert. Habe denen aber nen Link gesendet via ICQ.
Muss man nicht einfach die alte init.php mit der neuen 3.0.5'er ersetzen um die Sicherheitslücken geschlossen zu haben?

Jap das reicht....

Jap das reicht....
Bei diesem Vorgang bleibt aber die alte 3.0.3'er Versionsangabe erhalten!?

Bei diesem Vorgang bleibt aber die alte 3.0.3'er Versionsangabe erhalten!?Das ist richtig.

ja, ist bei mir auch so..... hab eben noch manuell die private.php angepasst.

Das ist richtig.
Ich verstehe, danke für die Antwort.
Ist die Lückenschließung mit der init.php diesmal, wegen der Dringlichkeit, eine Ausnahme, oder werden "BugFixes" und das Schließen von Sicherheitslücken prinzipiell getrennt behandelt?

Die Beitraege werden auch nicht mehr als neu angezeigt, wenn man geantwortet haben sollte. Sehr gut!

die aussage stammt von VEGA aus dem 3.0.4 thread.

da ich bisher nur die sicherheitslücke geschlossen habe und aufgrund der vielen hacks noch mit dem update warten möchte, würde mich interessieren wie man dieses problem manuell korrigieren kann?
denn bis auf dieses kleine problemchen läuft das forum ohne bugs (zumindest ist noch keinem was aufgefallen :D )

Hm, ich habe nun sämtliche aufgelisteten Dateien mit BeyondCompare an die neue Version angepasst. Upgrade15.php + Upgrade16.php das meiste rausgekillt so dass nur die Sachen außer Style und Phrasen übernommen wurden (vor allem neue Vers anzeige). Die Templates wurden, soweit die Code Änderungen in der Ankündigung standen angepasst.

Was mir aber noch unklar ist.
Was fehlt an:
direkten DB-Änderungen? (keine soweit ich das gesehen habe, ist das korrekt?)
Templates?
Phrasen? (wichtig)

Wäre schön wenn mir jemand da weiterhelfen könnte.

Testboard scheint bis jetzt zu laufen, Tests kommen morgen.

Wenn ich die alte "init.php" gegen die neue ersetze bekomme ich in Header diese felhlermeldung.


Warning: Invalid argument supplied for foreach() in /includes/functions.php on line 2854

Warning: Invalid argument supplied for foreach() in /includes/functions.php on line 2854

Warning: Invalid argument supplied for foreach() in /includes/functions.php on line 2854

kann es sein, das du den arcade hack drin hast? denn das liegt wohl daran

frage http://www.vbulletin.com/forum/showpost.php?p=791377&postcount=58

antwort http://www.vbulletin.com/forum/showpost.php?p=791389&postcount=65

und hier auch was dazu http://www.vbulletin.com/forum/showpost.php?p=789564&postcount=5

Ich verstehe, danke für die Antwort.
Ist die Lückenschließung mit der init.php diesmal, wegen der Dringlichkeit, eine Ausnahme, oder werden "BugFixes" und das Schließen von Sicherheitslücken prinzipiell getrennt behandelt?
Wird eine Schwachstelle bekannt, gibt es in der Regel eine neue Version und zusätzlich sichere Dateien für diejenigen, die nicht komplett upgraden möchten.

Es kann aber genausogut eine neue Version ohne vorherige Schwachstelle geben.

Da Fehler aber fortlaufend korrigiert werden, ist es sinnvoller eine neue Version zu veröffentlichen, als nur den Bugfix. Zwischen 3.0.3 und 3.0.4 sind ja nun auch einige Monate vergangen, so dass sich das angeboten hat.

Hm, ich habe nun sämtliche aufgelisteten Dateien mit BeyondCompare an die neue Version angepasst. Upgrade15.php + Upgrade16.php das meiste rausgekillt so dass nur die Sachen außer Style und Phrasen übernommen wurden (vor allem neue Vers anzeige). Die Templates wurden, soweit die Code Änderungen in der Ankündigung standen angepasst.

Was mir aber noch unklar ist.
Was fehlt an:
direkten DB-Änderungen? (keine soweit ich das gesehen habe, ist das korrekt?)
Templates?
Phrasen? (wichtig)

Wäre schön wenn mir jemand da weiterhelfen könnte.

Testboard scheint bis jetzt zu laufen, Tests kommen morgen.
Es war unnötig die Aktualisierung des Styles und der Sprache aus den Upgradedateien zu entfernen, da veränderte Templates und Phrasen nicht überschrieben werden.

@h75

Ja dank dir für die schnelle antwort, das mit dem einbau vom Arcade Hack ist schon so lange her, da wußte ich nicht mehr das ich auch änderungen in der "init.php" gemacht hatte :)

Es war unnötig die Aktualisierung des Styles und der Sprache aus den Upgradedateien zu entfernen, da veränderte Templates und Phrasen nicht überschrieben werden.

Thx für die Antwort.

Da werden absolut keine veränderten Sachen überschrieben?
Eigene bleiben, das ist klar.
Aber ich bin davon ausgegangen, dass Standardphrasen /-templates mit der neuen Version überschrieben werden.

Das überrascht mich nun doch.

Das überrascht mich nun doch. wie das überrascht dich? was wäre das ne arbeit, wenn man nach jedem update das layout neu gestalten müsste :eek:

Ganz einfach.
Es werden ja auch sämtliche PHP Dateien überschrieben - egal ob nötig oder nicht.
Daher bin ich davon ausgegangen, dass das bei Templates/Phrasen genauso passiert.

Habe auch gerade ein Update von 3.0.3 auf 3.0.5 gefahren. Läuft alles wunderbar ohne Probleme. Keinerlei Störungen oder Fehler beim Update. Danke :)

So ich habe mir das jetzt mal alles durchgelesen. Jetzt stellt sich mir nur 1 Frage! Ich habe die neue init.php bereits für unser Forum angepasst und hochgeladen. Was bringt mir jetzt noch das Update auf 3.0.5, wenn die Sicherheitslücke geschlossen ist?

Zwingend notwendig ist das Update dann ja nicht wirklich oder?

So ich habe mir das jetzt mal alles durchgelesen. Jetzt stellt sich mir nur 1 Frage! Ich habe die neue init.php bereits für unser Forum angepasst und hochgeladen. Was bringt mir jetzt noch das Update auf 3.0.5, wenn die Sicherheitslücke geschlossen ist?

Zwingend notwendig ist das Update dann ja nicht wirklich oder?

na, nen stapel bugfixe. sind meiner meinung aber alles nur kleinigkeiten. wirklich was schwerwiegendes habe ich bisher nicht entdeckt - ok, unser forum ist auch relativ klein :D

ich würde allerdings nicht nur die init.php einspielen, sondern auch den security-fix der private.php beachten! :rolleyes:

ich würde allerdings nicht nur die init.php einspielen, sondern auch den security-fix der private.php beachten nich zu vergessen die Template Änderungen, die auch nicht "unwichtig" sind....

http://www.vbulletin-germany.com/forum/showpost.php?p=91722&postcount=3

Ich hab mein Update gestern versucht und es ging gepflegt in die Hose... ^^; Okay, das Update selbst war, wie bei den meisten anderen auch, in 15 Minuten gemacht, aber das Umbauen der Templates dürfte mehrere Tage in Anspruch nehmen, solange wollte ich das Forum nicht geschlossen halten. Ergo: alles auf der Platte abändern! Das wird dauern :/

nich zu vergessen die Template Änderungen, die auch nicht "unwichtig" sind....

http://www.vbulletin-germany.com/forum/showpost.php?p=91722&postcount=3


verstehe ich nicht.... alle nicht durch hacks modifizierten templates werden doch automatisch geupdatet, oder?
was passiert mit den bereits im voruas veränderten? muss ich da manuell auf die neueste version, unter berücksichtigung meiner eingebauten hacks, updaten?
wird denn irgendwo genau beschrieben, was sich in den templates geändert hat? auf dem link den du gepostet hast, wird zwar ganz unten eine änderung beschrieben, aber die ganzen 3.0.4 änderungen sind nicht dokumentiert...

verstehe ich nicht.... alle nicht durch hacks modifizierten templates werden doch automatisch geupdatet, oder?
Unveränderte Templates werden automatisch upgedatet. Templates, die du verändert hast, werden nicht angerührt.

was passiert mit den bereits im voruas veränderten? muss ich da manuell auf die neueste version, unter berücksichtigung meiner eingebauten hacks, updaten?
Die Templates, die von dir geändert worden sind, werden nicht überschrieben. Du kannst entweder deine Templates behalten oder die neuen Templates mit Hilfe der Funktion "Original Template wiederherstellen" einzeln installieren. Jedoch musst du deine Veränderungen an den Templates wieder selbst einpflegen.
Die Funktion "Aktualisierte Templates" zeigt dir die neuen Templates an, die zur Verfügung stehen, aber noch nicht installiert wurden, da du diese Templates verändert hast.

wird denn irgendwo genau beschrieben, was sich in den templates geändert hat? auf dem link den du gepostet hast, wird zwar ganz unten eine änderung beschrieben, aber die ganzen 3.0.4 änderungen sind nicht dokumentiert...
In den Ankündigungen zu den neuen Version wurden alle Änderungen an den Templates beschrieben: http://www.vbulletin-germany.com/forum/showpost.php?p=91722&postcount=3

Thx für die Antwort.

Da werden absolut keine veränderten Sachen überschrieben?
Eigene bleiben, das ist klar.
Aber ich bin davon ausgegangen, dass Standardphrasen /-templates mit der neuen Version überschrieben werden.

Das überrascht mich nun doch.
Standardphrasen /-templates, die du verändert hast, bleiben so wie sie sind. Es werden nur im Hintergrund die neuen Versionen importiert, damit du die aktuelle Version erhältst, wenn du auf "Original wiederherstellen" oder "Original anzeigen" klickst.

Hi Rici,

Es gibt insgesamt nur 12 Templates die verändert sind. Diese Änderungen in deine Templates rein zu pflegen dürfte nicht sehr lange dauern.;)

Scott
Ich hab mein Update gestern versucht und es ging gepflegt in die Hose... ^^; Okay, das Update selbst war, wie bei den meisten anderen auch, in 15 Minuten gemacht, aber das Umbauen der Templates dürfte mehrere Tage in Anspruch nehmen, solange wollte ich das Forum nicht geschlossen halten. Ergo: alles auf der Platte abändern! Das wird dauern :/

.. ausserdem MUSS man die TEmplates nicht verändern ;)
Ist eher freiwillig :P

Ich gurke teilweise noch mit welchen aus der 3.0.0 RC2 rum ;)

Hm, das Tauschen der init.php hat bei mir doch nicht gereicht. Plötzlich gab es Problemen mit Dateianhängen, die nun nicht mehr funktioniert haben. Ich habe daher doch ein Voll-Update auf 3.0.5 gemacht und dabei einige Hacks rausgeworfen. Eine Entwümpelungskur schadet ja mal nicht. :)

Weiß man eigentlich schon, für wann vB 3.1.0 erwartet wird?

Hi Rici,
Es gibt insgesamt nur 12 Templates die verändert sind. Diese Änderungen in deine Templates rein zu pflegen dürfte nicht sehr lange dauern.;)
Scott
Seit der 3.0.0? :eek: Diese ist nämlich bei mir immer noch im Einsatz!

Nein, ein Termin für vB 3.1.0 wurde noch nicht genannt. Auch nicht ungefähr, um gleich weiteren Fragen vorzubeugen.

OK, danke. Dann muss ich mich also vermutlich nicht in 2 Wochen ärgern, dass ich jetzt ein Update auf 3.0.5 gemacht habe. Passt also. :)

also ich habe immer bei "get new posts" einen Datenbankfehler ... nur weiss ich nicht wiso? wer kann helfen?

Wie sieht der Fehler denn genau aus?

Deine Frage gehört eigentlich nicht in diesen Thread, sondern in einen neuen Thread im Forum "vBulletin 3 Fehlersuche und Probleme".

habe mir jetzt mal alle postings hier durchgelesen !

meine frage wie gehe ich am besten vor !

habe zwei hacks drinn ! arcarde und vba portal.

lasse ich das update einfach drüber laufen?

ändere ich die datein hauf der platte ? und lade diese dann hoch?

wie sichere ich die tamplats ?

und wie bekomme ich diese nachher wieder hochgespielt ?

vielen dank

ist halt mein erstes update

Ich habe ein Veränderten Style (inkl. Templates) was noch von einer RC Version stammt. Dort hab ich viele Änderungen reingepackt.

Ich habe beim Update von vB 3.0.3 auf 3.0.5 die .xml Files nicht mit heruntergeladen. Wenn ich mir nun zum Beispiel das Original von SHOWTHREAD_SHOWPOST anzeigen lasse, steht dort noch <form> drin. Laut den Template-Änderungen von 3.0.4/3.0.5 wurde sowas gändert:

SHOWTHREAD_SHOWPOST
<form> geändert in <form action="showpost.php">
Original wiederherstellen? Nein.

Wie gehe ich nun am besten vor um die Änderungen alle durchzuführen und auf dem aktuellsten stand zu sein und trotzdem mein Design nicht zu verlieren?
Die Template-Änderungen sind echt müßig und auch unzureichend dokumentiert finde ich.

Wenn ich das lese weiß ich ehrlichgesagt nichts damit anzufangen...:

newpoll
Der Hinweistext über die maximale Anzahl von Optionen wird nicht mehr gezeigt, falls keine Begrenzung eingestellt wurde.
Original wiederherstellen? Nein.

@Tomek:
Ui noch ein Paderborner an Board :)

Unser Update verlief auch Problemlos.
Also von mir positives Feedback.

Gruss
Christian

Mir ist schon ein paar mal aufgefallen, das Gäste irgendwie doch, obwohl nicht erlaubt, auf Dateianhänge zugreifen können. Wenn ich es als Gast über einen anderen Rechner probiere , geht es aber nie.

So sieht das gerade bei mir aus.... :confused:

http://vbg.halloo.de/93629.png

Das gleiche habe ich mit der Wer ist Online Seite und der Anzeige auf der gleichen... :confused:

http://vbg.halloo.de/97900.png