Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.5.8.

Probleme und Bugs bitte im entsprechenden Forum beschreiben oder direkt im Bug Tracker (http://www.vbulletin.com/forum/bugs35.php) bei vBulletin.com melden.

Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.5.7.

Die aktuelle Version ist doch aber jetzt die Version 3.5.8 oder?

Hmm...*nachdenk*...*stirnrunzel*...JA! :D

Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.5.8.


Oder anders formuliert...

Der Angreifer muss nur die Lizenznummer von uns kennen! Die ich ja netterweise häufiger per Email von vBulletin bekomme.

Was sonst muss dazu noch zutreffen? Muss zusätzlich noch /install und/oder /admincp von aussen erreichbar sein?

Wir wollen es den Hackern natürlich nicht zu einfach machen, aber ein klein wenig mehr Informationen zu dem Sicherheitsproblem wäre schon hilfreich.

Und schade, dass es diesmal keinen Patch per Plugin gibt.

Grüße,
Gucky.

das admin cp sollte IMMER mit htaccess gesichert sein (es schadet auch nicht den ordner einfach umzubenennen z.b. admin-cp_vb-3.6 oder so in der art)
der install ordner kann eigentlich komplett gelöscht werden(mache zumindest ich immer so)

Oder anders formuliert...

Der Angreifer muss nur die Lizenznummer von uns kennen! Die ich ja netterweise häufiger per Email von vBulletin bekomme.

So einfach ist es nun doch nicht.

Der Angreifer MUSS in jedem Fall Moderator sein.

Hinzu kommen dann noch die anderen Punkte ((2+3) oder 4).

So einfach ist es nun doch nicht.

Der Angreifer MUSS in jedem Fall Moderator sein.

Hinzu kommen dann noch die anderen Punkte ((2+3) oder 4).

Hm, dann ist die Liste in der Ankündigung zumindestens merkwürdigt "geklammert". :) Da das ODER so fett war, interpretierte ich, dass das eine Alternative zu allen drei anderen Punkten ist.

Was ich aber noch nicht verstehe ist, wie die Lizenznummer dem Angreifer helfen kann? In dem Patch ist doch nur die Datei inlinemod.php und dort wurden nur zwei Variablen gesichert, so dass wirklich eine Zahl drinn steht. Das hat doch nichts mit der Lizenznummer zu tun..?

Für mich ist die Lizenznummer kein "Secret" - deswegen beunruhigt mich es, wenn es scheinbar Angriffspunkte gibt, bei denen diese Nummer hilft. Mich würde es vermutlich beruhigen, wenn ich wüsste in welchem Zusammenhang das der Fall ist - sprich ob ich diese Fälle nicht ohnehin schon abgesichert habe. (Dadurch dass /admincp und /install bei uns nicht von aussen erreichbar sind.)

Ich halte die Informationspolitik von vb in diesem Fall für nicht so glücklich. Etwas mehr Infos für alle wäre hilfreich. Die "bösen Jungs" wissen vermutlich ohnehin, was zu tun ist.

Grüße,
Gucky.