vBulletin 3.5.6

Ein bisher nicht dokumentiertes Verhalten in allen Windows-Versionen des Internet Explorers führt dazu, dass vBulletin über eine XSS-Schwachstelle anfällig ist. Daher wird mit vBulletin 3.5.6 ein präventives Sicherheitsrelease veröffentlicht, bevor die Schwachstelle über den Internet Explorer ausgenutzt werden kann.

Wir empfehlen allen Kunden, die noch vBulletin 3.5 einsetzen, sobald wie möglich auf vBulletin 3.5.6 zu aktualisieren oder den Patch einzuspielen.
Bitte beachten Sie, dass unsere empfohlene Version von vBulletin 3.6.3 ist und Sie daher ein Upgrade auf diese Version vorziehen sollten.

Ein vollständiges Upgrade auf vBulletin 3.5.6 behebt nebenbei noch ein paar Fehler, wie z.B. ein Kompatibilitätsproblem mit PHP 5.2.0. Zusätzlich werden HttpOnly Cookies eingeführt, die die Gefahr datenstehlender XSS-Angriffe zu vermeiden helfen.

So aktualisieren Sie Ihr vBulletin, um die XSS-Schwachstelle zu beseitigen:

Beachten Sie bitte, dass auch alle anderen vBulletin-Versionen von dieser XSS-Schwachstelle betroffen sind. Lesen Sie dazu bitte die entsprechenden Ankündigungen!

Sie haben zwei Möglichkeiten, die XSS-Schwachstelle zu beseitigen:

Vollständiges Upgrade: Der beste Weg, das Problem zu beheben, ist ein vollständiges Upgrade, indem das komplette vBulletin 3.5.6 Paket aus dem Kundenbereich (http://members.vbulletin-germany.com/) heruntergeladen und das normale Upgrade durchgeführt wird.
Patch: Laden Sie die Patch-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien. Die Patch-Datei ist auch auf der Patchseite im Kundenbereich (http://members.vbulletin-germany.com/patches.php) verfügbar!

Hinweise, Anleitungen und Diskussion zu dieser Veröffentlichung (http://www.vbulletin-germany.com/forum/showpost.php?p=165176&postcount=4)

Das Patch-Paket, das im Kundenbereich zur Verfügung steht (http://members.vbulletin-germany.com/patches.php), erlaubt es Ihnen, die XSS-Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.5.5 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.
includes/class_image.phpHinweis:
Wenn Sie den Patch in diesem Beitrag nicht herunterladen können, werden Sie nicht als Lizenz-Inhaber erkannt. Bitte lesen Sie dieses Thema (http://www.vbulletin-germany.com/forum/showthread.php?p=22771#post22771), um zu erfahren, wie Sie als Lizenz-Inhaber erkannt werden können.
Sie brauchen den Patch nicht, wenn Sie ein vollständiges Upgrade auf vBulletin 3.5.6 durchführen.
Wenn Sie den Patch nutzen, ändert sich die Versionsnummer Ihres vBulletin nicht. Die Versionsnummer ändert sich nur bei einem vollständigen Upgrade auf 3.5.6.

Sicherheits-Patch für vBulletin 3.5.5 herunterladen. (http://members.vbulletin-germany.com/patches.php)

Geänderte Templates in 3.5.6

Es wurde kein Template verändert.

Geänderte Dateien in 3.5.6


/

attachment.php
printthread.php
profile.php

admincp/index.php
cpstyles/ - allen cp_logo.gif Dateien wurde das ®-Zeichen hinzugefügt
images/misc/ - ®-Zeichen hinzugefügt

vbulletin2_logo.gif
vbulletin3_logo_grey.gif
vbulletin3_logo_white.gif

includes/

class_bbcode.php
class_core.php
class_dbalter.php
class_image.php
class_upload.php
functions.php
functions_calendar.php
functions_login.php
init.php

install/ - (alle Dateien)
modcp/

index.php
moderate.php

Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):


Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.


Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1 (http://www.vbulletin.com/docs/html/main/moving_servers). Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Die Vorgehensweise ist also wie bei vBulletin 3.0.x / 3.6.x auch.

Wenn Sie Templates geändert haben und auf vBulletin 3.5.6 aktualisieren, müssen Sie eventuell viele dieser Templates wiederherstellen ("Original wiederherstellen"), ansonsten werden einige Bereiche in Ihrem Forum nicht funktionieren!


Bug-Reports

Fehler und Probleme können Sie am besten im Bug Tracker (http://www.vbulletin.com/forum/bugs35.php) bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!


Diskussion

Über die Veröffentlichung dieser Version kann hier diskutiert werden: vBulletin 3.5.6 verfügbar - Feedback (http://www.vbulletin-germany.com/forum/showthread.php?t=26920).