vBulletin 3.6.4

Die Entdeckung einer möglichen XSS-Sicherheitslücke im Administrator-Kontrollzentrum führt dazu, dass wir heute vBulletin 3.6.4 veröffentlichen.

Die Sicherheitslücke ist nur schwer auszunutzen und kann komplett vermieden werden, wenn Sie als Administrator keine Links auf eigenen oder fremden Seiten anklicken, die in Ihr Administrator-Kontrollzentrum führen und nicht von Ihnen erstellt worden sind.

Wir empfehlen allen Kunden, die vBulletin 3.6 einsetzen, sobald wie möglich auf vBulletin 3.6.4 zu aktualisieren oder den Patch einzuspielen.

vBulletin 3.6.4 enthält noch weitere, nicht sicherheitsrelevante Fehlerkorrekturen, die Sie sich im englischen Bugtracker (http://www.vbulletin.com/forum/bugs36.php?s=&do=list&vbversion=3.6.3&status=20) anzeigen lassen können.

So aktualisieren Sie Ihr vBulletin, um die XSS-Schwachstelle zu beseitigen:

Beachten Sie bitte, dass auch alle anderen vBulletin-Versionen von dieser XSS-Schwachstelle betroffen sind. Lesen Sie dazu bitte die entsprechenden Ankündigungen!

Sie haben zwei Möglichkeiten, die XSS-Schwachstelle zu beseitigen:

Vollständiges Upgrade: Der beste Weg, das Problem zu beheben, ist ein vollständiges Upgrade, indem das komplette vBulletin 3.6.4 Paket aus dem Kundenbereich (http://members.vbulletin-germany.com/) heruntergeladen und das normale Upgrade durchgeführt wird.
Patch: Laden Sie die Patch-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien. Die Patch-Datei ist auch auf der Patchseite im Kundenbereich (http://members.vbulletin-germany.com/patches.php) verfügbar!

Hinweise, Anleitungen und Diskussion zu dieser Veröffentlichung (http://www.vbulletin-germany.com/forum/showpost.php?p=166863&postcount=5)

Das Patch-Paket, das im Kundenbereich zur Verfügung steht (http://members.vbulletin-germany.com/patches.php), erlaubt es Ihnen, die XSS-Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.6.3 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.
admincp/index.phpHinweis:
Sie brauchen den Patch nicht, wenn Sie ein vollständiges Upgrade auf vBulletin 3.6.4 durchführen.
Wenn Sie den Patch nutzen, ändert sich die Versionsnummer Ihres vBulletin nicht. Die Versionsnummer ändert sich nur bei einem vollständigen Upgrade auf 3.6.4.

Sicherheits-Patch für vBulletin 3.6.3 herunterladen. (http://members.vbulletin-germany.com/patches.php)

ajax.php
calendar.php
memberlist.php
search.php
admincp/

admincalendar.php
index.php
usertools.php
subscriptions.php

archive/ index.php
clientscript/

vbulletin_global.js
vbulletin_textedit.js
vbulletin_thrdpostlist.js

includes

adminfunctions.php
adminfunctions_language.php
adminfunctions_template.php
class_bbcode.php
class_core.php
class_dm_event.php
class_dm_pm.php
class_dm_user.php
class_sigparser_char.php
functions_newpost.php
functions_calendar.php
cron/ removebans.php
xml/ js_safe_phrases.xml

install/ - (alle Dateien)
modcp/ user.php

Hier sind nur die Templates aufgelistet, die seit vBulletin 3.6.3 geändert wurden.

Wenn Sie noch nicht vBulletin 3.6.3 einsetzen, gibt es weitaus mehr als die hier aufgelisteten geänderten Templates. Verwenden Sie die Funktion "Aktualisierte Templates suchen", um die geänderten Templates zu finden und die Änderungen durchzuführen. Alternativ können Sie auch einen neuen Originalstyle erstellen.

Hinweis:
Sie müssen in diesem Beitrag nur nach Templates suchen, die Sie in Ihren Styles verändert haben. Templates, die Sie nicht geändert haben, sind nach dem Update automatisch auf dem aktuellsten Stand und müssen nicht von Ihnen überprüft werden.

Wenn Sie in dieser Liste ein Template finden, das Sie verändert haben, werden Sie wahrscheinlich die hier genannten Änderungen übernehmen wollen. Jedoch ist dies nicht immer notwendig. Bei jeder Änderung sehen Sie den Punkt "Original wiederherstellen:". Dies bezieht sich darauf, ob die Änderungen zwingend (ja) gemacht werden müssen. Wenn dies der Fall ist, werden einige Sachen nicht funktionieren, bevor Sie nicht diese Änderungen durchgeführt haben. Es ist unbedingt anzuraten, die Originale von diesen Templates wiederherzustellen und die von Ihnen gemachten Änderungen erneut durchzuführen.

Zusätzlich können Sie die Funktion "Aktualisierte Templates suchen" im Administrator-Kontrollzentrum verwenden, um Templates zu finden, die seit Ihrer letzten Änderung im Original verändert wurden.

-----------------------------------------------------

bbcode_code
bbcode_html
bbcode_php

Änderungen, um den HTML-Code XHTML-gültig zu machen.

Original wiederherstellen? Nein, es sei denn XHTML-validität ist wichtig für Sie




calendar_edit_customfield

maxlength Parameter hinzugefügt, der die Eingabelänge des Textes auf die festgelegte Größe beschränkt.

Original wiederherstellen? Nein, Bug-Report (http://www.vbulletin.com/forum/bugs36.php?do=view&bugid=1199)




newreply

style="border-top-width:0px" wurde zur Beitragsübersicht hinzugefügt, um einen doppelten Rahmen zu vermeiden.

Original wiederherstellen? Nein




pm_showpm

style="border-bottom-width:0px" wurde zu einer Tabelle hinzugefügt, um einen doppelten Rahmen zu vermeiden.

Original wiederherstellen? Nein

PHP- und MySQL-Anforderungen

Bitte nehmen Sie zur Kenntnis, dass vBulletin 3.6.x mindestens PHP 4.3.3 und MySQL 4.0.16 oder neuer voraussetzt.


Template-Änderungen

Viele der Templates wurden seit vBulletin 3.5.x und 3.6.x geändert, um neue Funktionen zu unterstützen. Aus diesem Grund müssen Sie die Originale einiger Templates wiederherstellen, da ansonsten einige Bereiche in Ihrem Forum nicht fehlerfrei funktionieren werden.

Wenn Sie bereits vBulletin 3.6.3 einsetzen, können Sie in der Ankündigung zu vBulletin 3.6.4 sehen, welche Templates sich geändert haben.


Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):


Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.


Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1 (http://www.vbulletin.com/docs/html/main/moving_servers). Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Die Vorgehensweise ist also wie bei vBulletin 3.0.x / 3.5.x auch.

Wenn Sie Templates geändert haben und auf vBulletin 3.6.4 aktualisieren, müssen Sie eventuell viele dieser Templates wiederherstellen ("Original wiederherstellen"), ansonsten werden einige Bereiche in Ihrem Forum nicht funktionieren!


Bug-Reports

Fehler und Probleme können Sie am besten im Bug Tracker (http://www.vbulletin.com/forum/bugs36.php) bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!


Diskussion

Über die Veröffentlichung dieser Version kann hier diskutiert werden: vBulletin 3.6.4 verfügbar - Feedback (http://www.vbulletin-germany.com/forum/showthread.php?t=27228).