vBulletin News

Seit dem letzten Wochenende ist eine Sicherheitslücke bekannt geworden (siehe hier & hier), bei dem sich Benutzer als andere Benutzer ausgeben können.

• Dieser Fehler tritt auf, falls sich ein Benutzer unter einem bereits vorhandenen Benutzernamen registrieren will und zusätzlich "&" oder "#" im Namen verwendet.

• Die mögliche Sicherheitslücke besteht darin, dass dieser "Klon"-Benutzer auch Private Nachrichten erhält, welche für den eigentlichen Benutzer bestimmt sind.
• Unsere Tests haben ergeben, dass es für den neuen Benutzer nicht möglich ist, dass Passwort oder Berechtigungen des ursprünglichen Benutzers zu erlangen. Von daher sprechen wir nicht von einer bedrohlichen Sicherheitslücke.
• Dieser Fehler betrifft alle vBulletin-Versionen bis zu vB 3.8.5 und wurde bereits in der Vergangenheit gemeldet. Unser Entwicklungsteam hatte diesen Fehler bisher noch nicht bearbeitet.
• Diese Fehlermeldung wurde unbeabsichtigt in Folge dieser Fehlermeldung geschlossen. Diese Lösung ist nicht die finale Fehlerbehebung. Sollten Sie vBulletin 3.8.6 oder höher einsetzen, sind Sie jedoch nicht von diesem Fehler betroffen.
• Wir werden einen Patch für vBulletin 3.7.7 und 3.8.6 programmieren, welcher sicherstellt, dass keine Benutzerkonten erstellt werden können, welche spezielle Sonderzeichen enthalten und einen bestehenden Benutzernamen imitieren.
• Zusätzlich können Sie mit Hilfe dieses regulären Ausdrucks verhindern, dass neue Benutzer diesen Fehler ausnutzen:
  vBulletin Einstellungen > Benutzer: Registrierung > Benutzername mit Regulären Ausdrücken überprüfen" >
  ^[a-zA-Z0-9_.-öäüÖÄÜß\s]+$
  Somit können sich nur mehr Benutzer registrieren, welche alphanummerische Zeichen inkl. deutscher Umlaute enthalten. Falls Sie eine andere Sprache verwenden, müssen Sie den regulären Ausdruck anpassen.
  Die endgültige Lösung wird nicht auf diese Zeichen beschränkt sein.

Ankündigung von Adrian