Mystics
19.03.2005, 23:06
Es wurde eine XSS-Schwachstelle bekannt, die in allen vBulletin 3 Foren bis inklusive 3.0.7 enthalten ist.
Diese XSS-Schwachstelle kann aber nur unter sehr bestimmten Umständen ausgenutzt werden, d.h. die Mehrzahl der vBulletin-Foren ist nicht betroffen.
Ihr Forum ist anfällig, wenn in den vBulletin-Einstellungen Wildcards (Platzhalter) erlauben nicht aktiviert ist oder
in den vBulletin-Einstellungen die Minimale Wortlänge für den Suchindex sehr hoch ist (mehr als 10 Zeichen)
Falls diese Bedingungen bei Ihrem Forum zutreffen, können Sie Ihre Installation auf einfache Weise absichern. Aktivieren Sie in den vBulletin-Einstellungen Wildcards (Platzhalter) erlauben und legen Sie einen geringeren Wert (6 oder kleiner) für die Minimale Wortlänge für den Suchindex fest.
Beide Einstellungen können im Administrator-Kontrollzentrum hier gefunden werden:
vBulletin-Einstellungen > Suchmaschine: Einstellungen
Wenn Sie diese Einstellungen nicht ändern möchten, können Sie die Schwachstelle auch beheben, indem Sie die Datei includes/functions_search.php auf Ihrem Server mit der Datei im Anhang dieses Beitrags ersetzen. Laden Sie dazu einfach die an diesen Beitrag angehängte Datei herunter und laden Sie sie auf Ihren Server in das includes Verzeichnis Ihrer vBulletin-Installation. Überschreiben Sie dabei die alte Datei auf dem Server. Wenn beide Bedingungen bei Ihnen nicht zutreffen, brauchen Sie die Datei nicht herunterzuladen.
Diese XSS-Schwachstelle kann aber nur unter sehr bestimmten Umständen ausgenutzt werden, d.h. die Mehrzahl der vBulletin-Foren ist nicht betroffen.
Ihr Forum ist anfällig, wenn in den vBulletin-Einstellungen Wildcards (Platzhalter) erlauben nicht aktiviert ist oder
in den vBulletin-Einstellungen die Minimale Wortlänge für den Suchindex sehr hoch ist (mehr als 10 Zeichen)
Falls diese Bedingungen bei Ihrem Forum zutreffen, können Sie Ihre Installation auf einfache Weise absichern. Aktivieren Sie in den vBulletin-Einstellungen Wildcards (Platzhalter) erlauben und legen Sie einen geringeren Wert (6 oder kleiner) für die Minimale Wortlänge für den Suchindex fest.
Beide Einstellungen können im Administrator-Kontrollzentrum hier gefunden werden:
vBulletin-Einstellungen > Suchmaschine: Einstellungen
Wenn Sie diese Einstellungen nicht ändern möchten, können Sie die Schwachstelle auch beheben, indem Sie die Datei includes/functions_search.php auf Ihrem Server mit der Datei im Anhang dieses Beitrags ersetzen. Laden Sie dazu einfach die an diesen Beitrag angehängte Datei herunter und laden Sie sie auf Ihren Server in das includes Verzeichnis Ihrer vBulletin-Installation. Überschreiben Sie dabei die alte Datei auf dem Server. Wenn beide Bedingungen bei Ihnen nicht zutreffen, brauchen Sie die Datei nicht herunterzuladen.