pogo
22.02.2006, 11:53
vBulletin 3.0.13
vBulletin 3.0.13 behebt eine kürzlich entdeckte XSS (http://de.wikipedia.org/wiki/XSS)-Sicherheitslücke, die von imei addmimistrator (http://myimei.com/security/) entdeckt wurde. Es wurden einige Fehler behoben und ein neues Feature hinzugefügt.
Neues Feature: Erweiterte Datei-Diagnose
Ab vBulletin 3.0.13 gibt die Funktion "Dateiversionen anzeigen" (Administrator-Kontrollzentrum > Wartung > Diagnose > Dateiversionen anzeigen) mehr Informationen über die verwendeten Dateien aus, was besonders bei Supportanfragen sehr nützlich ist.
Die alte Funktion hat nur die Dateiversionen mit der aktuell installierten vBulletin-Version verglichen. Es wurde also gemeldet, wenn z.B. die index.php aus Version 3.0.12 zusammen mit vBulletin 3.0.13 benutzt wird.
Die neue Funktion enthält weitere Prüfmethoden:
Versionsvergleich:
Es wird weiterhin die Dateiversion mit der vBulletin Version verglichen
Datei nicht gefunden:
Es wird nach fehlenden Dateien gesucht
Datei unbekannt:
Es werden alle Skript-Dateien angezeigt, die nicht zu vBulletin gehören
Unerwarteter Dateiinhalt:
Die letzte und wichtigste Prüfroutine vergleicht MD5-Hashsummen, die für jede Datei beim Herunterladen des vBulletin-Pakets erstellt werden. Verglichen wird die aktuelle MD5-Hashsumme jeder Datei mit der beim Herunterladen erstellten MD5-Hashsumme. Ist die MD5-Hashsumme nicht identisch, bedeutet das, dass die Datei verändert wurde oder nicht richtig auf den Server hochgeladen wurde.
http://files.vbulletin-germany.com/images/anncimg/suspect-files.png
Aktualisieren Ihres Forums:
Alle vBulletin 3.0.x Versionen sind von dieser Schwachstelle betroffen. Wir empfehlen daher allen Kunden, ihre vBulletin-Version so bald wie möglich zu aktualisieren bzw. zu patchen.
Für die vBulletin 3.0.x-Reihe ist dies auf zwei Arten möglich:
Vollständiges Upgrade: Der beste Weg das Problem zu beheben ist ein vollständiges Upgrade, indem das komplette vBulletin 3.0.13 Paket aus dem Kundenbereich heruntergeladen wird und das normale Upgrade durchgeführt wird
Patch: Laden Sie die ZIP-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien.Bitte nehmen Sie zur Kenntnis, dass vBulletin 2.3.x und vBulletin 3.0.x am Ende ihres Produktzyklus angelangt sind und daher nicht mehr weiterentwickelt werden. Es werden lediglich noch Sicherheitsupdates veröffentlicht. Falls Sie noch nicht auf vBulletin 3.5 aktualisiert haben, sollten Sie dies daher in Erwägung ziehen.
Wenn Sie vBulletin 3.5.x einsetzen, lesen Sie bitte die Ankündigung zu vBulletin 3.5.4 (http://www.vbulletin-germany.com/forum/showthread.php?t=22104).
Anleitung für die Installation / für das Update
Um vBulletin 3.0.x zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.
Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.
Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):
Neu-Installation von vBulletin 3.0.x
Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.
Aktualisierung einer älteren Version
Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1 (http://www.vbulletin.com/docs/html/main/moving_servers).
Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.
Bug-Reports (3.0.x)
Fehler und Probleme können Sie am besten im Bug Tracker (http://www.vbulletin.com/forum/bugs.php) bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!
Bedenken Sie bitte, dass vBulletin 3.5.x unseren primären Fokus hat und kleinere Fehler nur dafür behoben werden.
vBulletin 3.0.13 behebt eine kürzlich entdeckte XSS (http://de.wikipedia.org/wiki/XSS)-Sicherheitslücke, die von imei addmimistrator (http://myimei.com/security/) entdeckt wurde. Es wurden einige Fehler behoben und ein neues Feature hinzugefügt.
Neues Feature: Erweiterte Datei-Diagnose
Ab vBulletin 3.0.13 gibt die Funktion "Dateiversionen anzeigen" (Administrator-Kontrollzentrum > Wartung > Diagnose > Dateiversionen anzeigen) mehr Informationen über die verwendeten Dateien aus, was besonders bei Supportanfragen sehr nützlich ist.
Die alte Funktion hat nur die Dateiversionen mit der aktuell installierten vBulletin-Version verglichen. Es wurde also gemeldet, wenn z.B. die index.php aus Version 3.0.12 zusammen mit vBulletin 3.0.13 benutzt wird.
Die neue Funktion enthält weitere Prüfmethoden:
Versionsvergleich:
Es wird weiterhin die Dateiversion mit der vBulletin Version verglichen
Datei nicht gefunden:
Es wird nach fehlenden Dateien gesucht
Datei unbekannt:
Es werden alle Skript-Dateien angezeigt, die nicht zu vBulletin gehören
Unerwarteter Dateiinhalt:
Die letzte und wichtigste Prüfroutine vergleicht MD5-Hashsummen, die für jede Datei beim Herunterladen des vBulletin-Pakets erstellt werden. Verglichen wird die aktuelle MD5-Hashsumme jeder Datei mit der beim Herunterladen erstellten MD5-Hashsumme. Ist die MD5-Hashsumme nicht identisch, bedeutet das, dass die Datei verändert wurde oder nicht richtig auf den Server hochgeladen wurde.
http://files.vbulletin-germany.com/images/anncimg/suspect-files.png
Aktualisieren Ihres Forums:
Alle vBulletin 3.0.x Versionen sind von dieser Schwachstelle betroffen. Wir empfehlen daher allen Kunden, ihre vBulletin-Version so bald wie möglich zu aktualisieren bzw. zu patchen.
Für die vBulletin 3.0.x-Reihe ist dies auf zwei Arten möglich:
Vollständiges Upgrade: Der beste Weg das Problem zu beheben ist ein vollständiges Upgrade, indem das komplette vBulletin 3.0.13 Paket aus dem Kundenbereich heruntergeladen wird und das normale Upgrade durchgeführt wird
Patch: Laden Sie die ZIP-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien.Bitte nehmen Sie zur Kenntnis, dass vBulletin 2.3.x und vBulletin 3.0.x am Ende ihres Produktzyklus angelangt sind und daher nicht mehr weiterentwickelt werden. Es werden lediglich noch Sicherheitsupdates veröffentlicht. Falls Sie noch nicht auf vBulletin 3.5 aktualisiert haben, sollten Sie dies daher in Erwägung ziehen.
Wenn Sie vBulletin 3.5.x einsetzen, lesen Sie bitte die Ankündigung zu vBulletin 3.5.4 (http://www.vbulletin-germany.com/forum/showthread.php?t=22104).
Anleitung für die Installation / für das Update
Um vBulletin 3.0.x zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.
Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.
Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):
Neu-Installation von vBulletin 3.0.x
Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.
Aktualisierung einer älteren Version
Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1 (http://www.vbulletin.com/docs/html/main/moving_servers).
Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.
Bug-Reports (3.0.x)
Fehler und Probleme können Sie am besten im Bug Tracker (http://www.vbulletin.com/forum/bugs.php) bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!
Bedenken Sie bitte, dass vBulletin 3.5.x unseren primären Fokus hat und kleinere Fehler nur dafür behoben werden.