Mystics
02.03.2006, 22:51
eBulletin - 1. März 2006
ADDUCO E-BULLETIN
http://www.vbulletin-germany.com/
1. März 2006
Diese E-Mail enthält sicherheitsrelevante Informationen.
Bitte lesen Sie sie aufmerksam.
* Sicherheitshinweis
* Erweiterte Datei-Diagnose
* SkypeWeb-Integration
* vBulletin 3.5.4 (Deutsch) veröffentlicht
* vBulletin 3.0.13 (Deutsch) veröffentlicht
* Feedback / Vorschläge
* Ihre Lizenz-Informationen
* Kontakt
------------------- SICHERHEITSHINWEIS -------------------
Eine Ende Februar entdeckte XSS-Sicherheitslücke in vBulletin
3.0.x und 3.5.x macht es erforderlich, neue Versionen
von vBulletin in Form eines Sicherheitsupdates zu
veröffentlichen. Zusätzlich werden einige neue Features
eingeführt.
Alle vBulletin-Versionen sind von dieser Schwachstelle
betroffen. Wir empfehlen daher allen Kunden, ihre
vBulletin-Version so bald wie möglich zu aktualisieren
bzw. zu patchen.
Details zu den vBulletin-Produktreihen folgen.
---------------- ERWEITERTE DATEI-DIAGNOSE ---------------
In vBulletin 3.0.13 und 3.5.4 gibt die Funktion "Dateiversionen
anzeigen" (Administrator-Kontrollzentrum > Wartung >
Diagnose > Dateiversionen anzeigen) mehr Informationen
über die verwendeten Dateien aus, was besonders bei
Supportanfragen sehr nützlich ist.
Die alte Funktion hat nur die Dateiversionen mit der
aktuell installierten vBulletin-Version verglichen.
Die neue Funktion enthält weitere Prüfmethoden:
* Versionsvergleich:
Es wird weiterhin die Dateiversion mit der vBulletin
Version verglichen
* Datei nicht gefunden:
Es wird nach fehlenden Dateien gesucht
* Datei unbekannt:
Es werden alle Skript-Dateien angezeigt, die nicht zu
vBulletin gehören
* Unerwarteter Dateiinhalt:
Die letzte und wichtigste Prüfroutine vergleicht
MD5-Hashsummen, die für jede Datei beim Herunterladen
des vBulletin-Pakets erstellt werden. Verglichen wird
die aktuelle MD5-Hashsumme jeder Datei mit der beim
Herunterladen erstellten MD5-Hashsumme. Ist die
MD5-Hashsumme nicht identisch, bedeutet das, dass die
Datei verändert wurde oder nicht richtig auf den Server
hochgeladen wurde.
------------------ SKYPEWEB-INTEGRATION ------------------
vBulletin 3.5.4 unterstützt nun SkypeWeb und zeigt somit an,
ob ein Skype-Benutzer online ist und welchen Status er in
Skype eingestellt hat.
Wird in Skype eingestellt, dass der Onlinestatus nicht im
Internet angezeigt werden soll, gilt dies selbstverständlich
auch für die Anzeige in vBulletin.
Um die SkypeWeb-Anzeige nutzen zu können, muss mindestens
Skype 2.0.0.79 installiert sein. SkypeWeb funktioniert nur
mit vBulletin 3.5.4. vBulletin 3.0.13 wird nicht unterstützt.
http://www.vbulletin-germany.com/forum/showthread.php?t=21765
Skype: http://www.skype.com
-------- VBULLETIN 3.5.4 (DEUTSCH) VERÖFFENTLICHT --------
So kann die Sicherheitslücke geschlossen werden:
1. Vollständiges Upgrade:
Der beste Weg das Problem zu beheben, ist ein vollständiges
Upgrade, indem das komplette vBulletin 3.5.4 Paket aus dem
Kundenbereich heruntergeladen wird und das normale Upgrade
durchgeführt wird. Mit dieser Methode werden auch einige
nicht-kritische Fehler behoben, die seit der Veröffentlichung
von vBulletin 3.5.3 bekannt geworden sind. Jede ältere Version
kann mit dieser Methode auf den aktuellen Stand gebracht werden.
2. Patch:
Wenn Sie vBulletin 3.5.3 einsetzen, können Sie das Patch-Archiv
mit fehlerbereinigten Dateien aus dem Kundenbereich herunterladen
und Ihre existierenden Dateien überschreiben. Sie schließen
damit die XSS-Sicherheitslücke, beheben aber keine weiteren
Fehler. Den Link zu der Patchseite finden Sie in der unten
verlinkten Ankündigung.
3. Plug-in:
Das Plug-in-System von vBulletin 3.5 erlaubt es
Ihnen, die XSS-Sicherheitslücke mit einem einfachen Plug-in
zu beheben. Die XML-Datei mit dem Plug-in befindet sich auch
als Anhang in der Ankündigung und ist der einfachste Weg das
Problem zu beheben, da keine Dateien via FTP hochgeladen
werden müssen. Das Plug-in wird automatisch entfernt, wenn
Sie das nächste vollständige Upgrade durchführen.
Wie beim Patch werden auch hier keine weiteren Fehler behoben.
Bitte lesen Sie sich in unserem Forum die Ankündigung zu
dieser Version durch. Sie finden dort den Link zum
Patch-Archiv mit fehlerbereinigten Dateien, Anweisungen
bezüglich des Upgrades bzw. der Installation, sowie Hinweise
zu behobenen Fehlern und anderen Änderungen:
http://www.vbulletin-germany.com/forum/showthread.php?t=22104
-------- VBULLETIN 3.0.13 (DEUTSCH) VERÖFFENTLICHT -------
So kann die Sicherheitslücke geschlossen werden:
1. Vollständiges Upgrade:
Der beste Weg das Problem zu beheben, ist ein vollständiges
Upgrade, indem das komplette vBulletin 3.0.13 Paket aus dem
Kundenbereich heruntergeladen wird und das normale Upgrade
durchgeführt wird. Mit dieser Methode werden auch einige
nicht-kritische Fehler behoben, die seit der Veröffentlichung
von vBulletin 3.0.12 bekannt geworden sind. Jede ältere Version
kann mit dieser Methode auf vBulletin 3.0.13 aktualisiert werden.
2. Patch:
Wenn Sie vBulletin 3.0.12 einsetzen, können Sie das Patch-Archiv
mit fehlerbereinigten Dateien aus dem Kundenbereich herunterladen
und Ihre existierenden Dateien überschreiben. Sie schließen
damit die XSS-Sicherheitslücke, beheben aber keine weiteren
Fehler. Den Link zu der Patchseite finden Sie in der unten
verlinkten Ankündigung.
Bitte lesen Sie sich in unserem Forum die Ankündigung zu
dieser Version durch. Sie finden dort den Link zum
Patch-Archiv mit fehlerbereinigten Dateien, Anweisungen
bezüglich des Upgrades bzw. der Installation, sowie Hinweise
zu behobenen Fehlern und anderen Änderungen:
http://www.vbulletin-germany.com/forum/showthread.php?t=22099
ADDUCO E-BULLETIN
http://www.vbulletin-germany.com/
1. März 2006
Diese E-Mail enthält sicherheitsrelevante Informationen.
Bitte lesen Sie sie aufmerksam.
* Sicherheitshinweis
* Erweiterte Datei-Diagnose
* SkypeWeb-Integration
* vBulletin 3.5.4 (Deutsch) veröffentlicht
* vBulletin 3.0.13 (Deutsch) veröffentlicht
* Feedback / Vorschläge
* Ihre Lizenz-Informationen
* Kontakt
------------------- SICHERHEITSHINWEIS -------------------
Eine Ende Februar entdeckte XSS-Sicherheitslücke in vBulletin
3.0.x und 3.5.x macht es erforderlich, neue Versionen
von vBulletin in Form eines Sicherheitsupdates zu
veröffentlichen. Zusätzlich werden einige neue Features
eingeführt.
Alle vBulletin-Versionen sind von dieser Schwachstelle
betroffen. Wir empfehlen daher allen Kunden, ihre
vBulletin-Version so bald wie möglich zu aktualisieren
bzw. zu patchen.
Details zu den vBulletin-Produktreihen folgen.
---------------- ERWEITERTE DATEI-DIAGNOSE ---------------
In vBulletin 3.0.13 und 3.5.4 gibt die Funktion "Dateiversionen
anzeigen" (Administrator-Kontrollzentrum > Wartung >
Diagnose > Dateiversionen anzeigen) mehr Informationen
über die verwendeten Dateien aus, was besonders bei
Supportanfragen sehr nützlich ist.
Die alte Funktion hat nur die Dateiversionen mit der
aktuell installierten vBulletin-Version verglichen.
Die neue Funktion enthält weitere Prüfmethoden:
* Versionsvergleich:
Es wird weiterhin die Dateiversion mit der vBulletin
Version verglichen
* Datei nicht gefunden:
Es wird nach fehlenden Dateien gesucht
* Datei unbekannt:
Es werden alle Skript-Dateien angezeigt, die nicht zu
vBulletin gehören
* Unerwarteter Dateiinhalt:
Die letzte und wichtigste Prüfroutine vergleicht
MD5-Hashsummen, die für jede Datei beim Herunterladen
des vBulletin-Pakets erstellt werden. Verglichen wird
die aktuelle MD5-Hashsumme jeder Datei mit der beim
Herunterladen erstellten MD5-Hashsumme. Ist die
MD5-Hashsumme nicht identisch, bedeutet das, dass die
Datei verändert wurde oder nicht richtig auf den Server
hochgeladen wurde.
------------------ SKYPEWEB-INTEGRATION ------------------
vBulletin 3.5.4 unterstützt nun SkypeWeb und zeigt somit an,
ob ein Skype-Benutzer online ist und welchen Status er in
Skype eingestellt hat.
Wird in Skype eingestellt, dass der Onlinestatus nicht im
Internet angezeigt werden soll, gilt dies selbstverständlich
auch für die Anzeige in vBulletin.
Um die SkypeWeb-Anzeige nutzen zu können, muss mindestens
Skype 2.0.0.79 installiert sein. SkypeWeb funktioniert nur
mit vBulletin 3.5.4. vBulletin 3.0.13 wird nicht unterstützt.
http://www.vbulletin-germany.com/forum/showthread.php?t=21765
Skype: http://www.skype.com
-------- VBULLETIN 3.5.4 (DEUTSCH) VERÖFFENTLICHT --------
So kann die Sicherheitslücke geschlossen werden:
1. Vollständiges Upgrade:
Der beste Weg das Problem zu beheben, ist ein vollständiges
Upgrade, indem das komplette vBulletin 3.5.4 Paket aus dem
Kundenbereich heruntergeladen wird und das normale Upgrade
durchgeführt wird. Mit dieser Methode werden auch einige
nicht-kritische Fehler behoben, die seit der Veröffentlichung
von vBulletin 3.5.3 bekannt geworden sind. Jede ältere Version
kann mit dieser Methode auf den aktuellen Stand gebracht werden.
2. Patch:
Wenn Sie vBulletin 3.5.3 einsetzen, können Sie das Patch-Archiv
mit fehlerbereinigten Dateien aus dem Kundenbereich herunterladen
und Ihre existierenden Dateien überschreiben. Sie schließen
damit die XSS-Sicherheitslücke, beheben aber keine weiteren
Fehler. Den Link zu der Patchseite finden Sie in der unten
verlinkten Ankündigung.
3. Plug-in:
Das Plug-in-System von vBulletin 3.5 erlaubt es
Ihnen, die XSS-Sicherheitslücke mit einem einfachen Plug-in
zu beheben. Die XML-Datei mit dem Plug-in befindet sich auch
als Anhang in der Ankündigung und ist der einfachste Weg das
Problem zu beheben, da keine Dateien via FTP hochgeladen
werden müssen. Das Plug-in wird automatisch entfernt, wenn
Sie das nächste vollständige Upgrade durchführen.
Wie beim Patch werden auch hier keine weiteren Fehler behoben.
Bitte lesen Sie sich in unserem Forum die Ankündigung zu
dieser Version durch. Sie finden dort den Link zum
Patch-Archiv mit fehlerbereinigten Dateien, Anweisungen
bezüglich des Upgrades bzw. der Installation, sowie Hinweise
zu behobenen Fehlern und anderen Änderungen:
http://www.vbulletin-germany.com/forum/showthread.php?t=22104
-------- VBULLETIN 3.0.13 (DEUTSCH) VERÖFFENTLICHT -------
So kann die Sicherheitslücke geschlossen werden:
1. Vollständiges Upgrade:
Der beste Weg das Problem zu beheben, ist ein vollständiges
Upgrade, indem das komplette vBulletin 3.0.13 Paket aus dem
Kundenbereich heruntergeladen wird und das normale Upgrade
durchgeführt wird. Mit dieser Methode werden auch einige
nicht-kritische Fehler behoben, die seit der Veröffentlichung
von vBulletin 3.0.12 bekannt geworden sind. Jede ältere Version
kann mit dieser Methode auf vBulletin 3.0.13 aktualisiert werden.
2. Patch:
Wenn Sie vBulletin 3.0.12 einsetzen, können Sie das Patch-Archiv
mit fehlerbereinigten Dateien aus dem Kundenbereich herunterladen
und Ihre existierenden Dateien überschreiben. Sie schließen
damit die XSS-Sicherheitslücke, beheben aber keine weiteren
Fehler. Den Link zu der Patchseite finden Sie in der unten
verlinkten Ankündigung.
Bitte lesen Sie sich in unserem Forum die Ankündigung zu
dieser Version durch. Sie finden dort den Link zum
Patch-Archiv mit fehlerbereinigten Dateien, Anweisungen
bezüglich des Upgrades bzw. der Installation, sowie Hinweise
zu behobenen Fehlern und anderen Änderungen:
http://www.vbulletin-germany.com/forum/showthread.php?t=22099