vBulletin 3.5.8

Gestern morgen wurde eine Sicherheitslücke gemeldet, die alle Versionen von vBulletin 3.5.x und 3.6.x betrifft. Auch wenn die Beschreibung der Sicherheitslücke und wie sie auszunutzen ist, ungenau ist und nur unter ganz bestimmten und unwahrscheinlichen Bedingungen funktionieren kann, wurde dennoch auf ein Problem in den betroffenen Versionen hingewiesen.

Daher veröffentlichen wir vBulletin 3.5.8 und 3.6.5, die diese Sicherheitslücke beheben. Wir empfehlen allen Kunden, die vBulletin 3.5.x oder 3.6.x einsetzen, auf die jeweils aktuelle Version zu wechseln oder den bereitgestellten Patch einzuspielen.

Um zu zeigen, wie schwer die Sicherheitslücke auszunutzen ist, wird im Folgenden beschrieben, welche Bedingungen der Angreifer erfüllen muss:

Der Angreifer muss Moderatoren-Rechte haben.
Der Angreifer muss dieselbe IP-Adresse (oder einen identischen Teil je nach Einstellungen im Admin-Kontrollzentrum unter Genauigkeit der Überprüfung der Session-IP-Adresse) haben wie ein Administrator, der zum Zeitpunkt des Angriffs im Admin-Kontrollzentrum angemeldet sein muss.
Der Angreifer muss die Alt-IP-Adresse (z.B. die IP-Adresse eines benutzten Proxys) und den User Agent (exakte Browser-Identifikation) des Administrators kennen.
ODER Der Angreifer muss die Lizenznummer des Forums kennen.Anhand dieser Bedingungen ist ersichtlich, dass die Sicherheitslücke nur sehr schwer auszunutzen ist.


So aktualisieren Sie Ihr vBulletin, um die Schwachstelle zu beseitigen:

Sie haben zwei Möglichkeiten, die Schwachstelle zu beseitigen:

Vollständiges Upgrade: Der beste Weg, das Problem zu beheben, ist ein vollständiges Upgrade, indem das komplette vBulletin 3.5.8 Paket aus dem Kundenbereich (http://members.vbulletin-germany.com/) heruntergeladen und das normale Upgrade durchgeführt wird.
Patch: Laden Sie die Patch-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien. Die Patch-Datei ist auch auf der Patchseite im Kundenbereich (http://members.vbulletin-germany.com/patches.php) verfügbar!
Hinweise, Anleitungen und Diskussion zu dieser Veröffentlichung (http://www.vbulletin-germany.com/forum/showpost.php?p=175937&postcount=4)

Das Patch-Paket, das im Kundenbereich zur Verfügung steht (http://members.vbulletin-germany.com/patches.php), erlaubt es Ihnen, die Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.5.7 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.
inlinemod.phpHinweis:
Sie brauchen den Patch nicht, wenn Sie ein vollständiges Upgrade auf vBulletin 3.5.8 durchführen.
Wenn Sie den Patch nutzen, ändert sich die Versionsnummer Ihres vBulletin nicht. Die Versionsnummer ändert sich nur bei einem vollständigen Upgrade auf 3.5.8.

Sicherheits-Patch für vBulletin 3.5.7 herunterladen. (http://members.vbulletin-germany.com/patches.php)

Sie können den Patch auch direkt hier herunterladen:

inlinemod.php
admincp/attachment.php
includes/class_core.php
install/ - alle Dateien


Es wurde keine Templates in vBulletin 3.5.8 verändert!

Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):


Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.


Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1 (http://www.vbulletin.com/docs/html/main/moving_servers). Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Wenn Sie Templates geändert haben und auf vBulletin 3.5.8 aktualisieren, müssen Sie eventuell viele dieser Templates wiederherstellen ("Original wiederherstellen"), ansonsten werden einige Bereiche in Ihrem Forum nicht funktionieren!


Bug-Reports

Fehler und Probleme können Sie am besten im Bug Tracker (http://www.vbulletin.com/forum/bugs.php) bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte.


Diskussion

Über die Veröffentlichung dieser Version kann hier diskutiert werden: vBulletin 3.5.8 verfügbar - Feedback (http://www.vbulletin-germany.com/forum/showthread.php?t=28948).