Mystics
14.03.2007, 22:48
eBulletin - 2. März 2007
ADDUCO E-BULLETIN
http://www.vbulletin-germany.com/
2. März 2007
Dies sind die Themen dieses eBulletins:
* vBulletin 3.6.5 und 3.5.8 veröffentlicht
* Hinweis zu vBulletin 3.6.6
-------- VBULLETIN 3.6.5 UND 3.5.8 VERÖFFENTLICHT --------
Uns wurde eine Sicherheitslücke gemeldet, die alle Versionen
von vBulletin 3.5.x und 3.6.x betrifft. Auch wenn die
Beschreibung der Sicherheitslücke und wie sie auszunutzen
ist, ungenau ist und nur unter ganz bestimmten und
unwahrscheinlichen Bedingungen funktionieren kann, wurde
dennoch auf ein Problem in den betroffenen Versionen
hingewiesen.
Daher veröffentlichen wir vBulletin 3.5.8 und 3.6.5, die
diese Sicherheitslücke beheben. Wir empfehlen allen Kunden,
die vBulletin 3.5.x oder 3.6.x einsetzen, auf die jeweils
aktuelle Version zu wechseln oder den bereitgestellten
Patch einzuspielen.
Um zu zeigen, wie schwer die Sicherheitslücke auszunutzen
ist, wird im Folgenden beschrieben, welche Bedingungen der
Angreifer erfüllen muss:
* Der Angreifer muss Moderatoren-Rechte haben.
* Der Angreifer muss dieselbe IP-Adresse (oder einen
identischen Teil je nach Einstellungen im Admin-
Kontrollzentrum unter Genauigkeit der Überprüfung der
Session-IP-Adresse) haben wie ein Administrator, der zum
Zeitpunkt des Angriffs im Admin-Kontrollzentrum angemeldet
sein muss.
* Der Angreifer muss die Alt-IP-Adresse (z.B. die IP-Adresse
eines benutzten Proxys) und den User Agent (exakte Browser-
Identifikation) des Administrators kennen.
ODER
* Der Angreifer muss die Lizenznummer des Forums kennen.
Anhand dieser Bedingungen ist ersichtlich, dass die
Sicherheitslücke nur sehr schwer auszunutzen ist.
Hinweis: Sollten Sie noch noch nicht vBulletin 3.6.*
einsetzen, empfehlen wir Ihnen, auf 3.6.5 zu aktualisieren,
da dies unsere aktuellste stabile Version ist.
Release-Informationen für vBulletin 3.6.5 und Patch für 3.6.4:
http://www.vbulletin-germany.com/go/365
Release-Informationen für vBulletin 3.5.8 und Patch für 3.5.7:
http://www.vbulletin-germany.com/go/358
--------------- HINWEIS ZU VBULLETIN 3.6.6 ---------------
Durch die Veröffentlichung dieser Sicherheitslücke sahen
wir uns gezwungen, schnell korrigierte Versionen von
vBulletin zu veröffentlichen. Ursprünglich sollte
vBulletin 3.6.5 noch weitere Probleme beheben, die seit
vBulletin 3.6.4 gemeldet wurden und diverse Verbesserungen
einführen.
Unglücklicherweise bedeutet die schnelle Reaktion auf die
Sicherheitslücke, dass für den Test der anderen Korrekturen
keine Zeit mehr war und diese somit erst in vBulletin 3.6.6
erscheinen werden.
Damit das Upgrade von vBulletin 3.6.4 auf vBulletin 3.6.5
so einfach wie nur möglich ist, haben wir weder
Veränderungen an den Templates, noch an den Phrasen
vorgenommen.
ADDUCO E-BULLETIN
http://www.vbulletin-germany.com/
2. März 2007
Dies sind die Themen dieses eBulletins:
* vBulletin 3.6.5 und 3.5.8 veröffentlicht
* Hinweis zu vBulletin 3.6.6
-------- VBULLETIN 3.6.5 UND 3.5.8 VERÖFFENTLICHT --------
Uns wurde eine Sicherheitslücke gemeldet, die alle Versionen
von vBulletin 3.5.x und 3.6.x betrifft. Auch wenn die
Beschreibung der Sicherheitslücke und wie sie auszunutzen
ist, ungenau ist und nur unter ganz bestimmten und
unwahrscheinlichen Bedingungen funktionieren kann, wurde
dennoch auf ein Problem in den betroffenen Versionen
hingewiesen.
Daher veröffentlichen wir vBulletin 3.5.8 und 3.6.5, die
diese Sicherheitslücke beheben. Wir empfehlen allen Kunden,
die vBulletin 3.5.x oder 3.6.x einsetzen, auf die jeweils
aktuelle Version zu wechseln oder den bereitgestellten
Patch einzuspielen.
Um zu zeigen, wie schwer die Sicherheitslücke auszunutzen
ist, wird im Folgenden beschrieben, welche Bedingungen der
Angreifer erfüllen muss:
* Der Angreifer muss Moderatoren-Rechte haben.
* Der Angreifer muss dieselbe IP-Adresse (oder einen
identischen Teil je nach Einstellungen im Admin-
Kontrollzentrum unter Genauigkeit der Überprüfung der
Session-IP-Adresse) haben wie ein Administrator, der zum
Zeitpunkt des Angriffs im Admin-Kontrollzentrum angemeldet
sein muss.
* Der Angreifer muss die Alt-IP-Adresse (z.B. die IP-Adresse
eines benutzten Proxys) und den User Agent (exakte Browser-
Identifikation) des Administrators kennen.
ODER
* Der Angreifer muss die Lizenznummer des Forums kennen.
Anhand dieser Bedingungen ist ersichtlich, dass die
Sicherheitslücke nur sehr schwer auszunutzen ist.
Hinweis: Sollten Sie noch noch nicht vBulletin 3.6.*
einsetzen, empfehlen wir Ihnen, auf 3.6.5 zu aktualisieren,
da dies unsere aktuellste stabile Version ist.
Release-Informationen für vBulletin 3.6.5 und Patch für 3.6.4:
http://www.vbulletin-germany.com/go/365
Release-Informationen für vBulletin 3.5.8 und Patch für 3.5.7:
http://www.vbulletin-germany.com/go/358
--------------- HINWEIS ZU VBULLETIN 3.6.6 ---------------
Durch die Veröffentlichung dieser Sicherheitslücke sahen
wir uns gezwungen, schnell korrigierte Versionen von
vBulletin zu veröffentlichen. Ursprünglich sollte
vBulletin 3.6.5 noch weitere Probleme beheben, die seit
vBulletin 3.6.4 gemeldet wurden und diverse Verbesserungen
einführen.
Unglücklicherweise bedeutet die schnelle Reaktion auf die
Sicherheitslücke, dass für den Test der anderen Korrekturen
keine Zeit mehr war und diese somit erst in vBulletin 3.6.6
erscheinen werden.
Damit das Upgrade von vBulletin 3.6.4 auf vBulletin 3.6.5
so einfach wie nur möglich ist, haben wir weder
Veränderungen an den Templates, noch an den Phrasen
vorgenommen.