vBulletin 3.0.5 (Deutsch) verfügbar

[Mystics]

vBulletin 3.0.5

Wichtige Aktualisierung

Die Entdeckung einer schwerwiegenden Sicherheitslücke in allen vBulletin 3 Versionen bis inklusive 3.0.4 macht es erforderlich, unverzüglich eine neue vBulletin-Version zur Behebung dieser Sicherheitslücke zu veröffentlichen.

Die Sicherheitslücke betrifft jeden, der vBulletin 3 auf einem Server betreibt, der mit PHP 4 läuft und bei dem register_globals in der php.ini aktiviert ist.

Dies ist eine sehr wichtige Aktualisierung und wir raten allen betroffenen Kunden, dringend ihre vBulletin-Version zu aktualisieren.

vBulletin 3.0.5 enthält alle Neuerungen, die kürzlich mit vBulletin 3.0.4 veröffentlicht wurden, inklusive vieler behobenener Fehler, die seit Version 3.0.3 gefunden wurden.

Falls Sie Ihr Forum nicht auf vBulletin 3.0.5 aktualisieren können oder möchten, empfehlen wir Ihnen, die im Anhang befindliche init.php herunterzuladen. Laden Sie diese Datei in Ihr includes Verzeichnis hoch und überschreiben Sie dabei die alte Datei Ihrer vBulletin-Installation. Diese Datei behebt die Sicherheitslücke. Nehmen Sie bitte zur Kenntnis, dass diese Version die Datei von 3.0.4 ablöst.

Wichtige Warnung bezüglich sensibler Daten

Durch das Ausmaß der in vBulletin 3 entdeckten Sicherheitslücke und als Teil unserer fortwährendenen Bemühung, die maximale Sicherheit zu gewährleisten, müssen wir anehmen, dass einer oder alle vBulletin-Server gefährdet und die Server daher für Dritte zugänglich waren.

Deshalb EMPFEHLEN wir DRINGEND allen Kunden, die in der Vergangenheit sensible Daten an vBulletin-Mitarbeiter übersendet haben, diese Daten zu ändern. Dazu gehören z.B. Daten zum Admin-Kontrollzentrum, phpMyAdmin, FTP etc., die z.B. über das Ticket-System verschickt wurden. Dadurch wird sichergestellt, dass Daten, die eventuell von Dritten eingesehen wurden, nicht verwendet werden können.

Wir möchten unseren Kunden ebenfalls versichern, dass weder bei Jelsoft Enterprises Ltd., noch bei Adduco Digital Kreditkartennummern, die in Transaktionen verwendet wurden, gespeichert werden, d.h. es ist nicht möglich, dass diese Details entdeckt und/oder missbraucht werden.

Zusätzlich wurden und werden Schritte unternommen, die gewährleisten, dass alle eventuell entdeckten Daten keine sensiblen Informationen enthalten.

Sicherheitslücken in PHP 4.3.9, 5.0.2 und älter

Wie wir bereits erwähnt haben, wurde eine Sicherheitslücke in den PHP-Versionen bis inklusive 4.3.9 und 5.0.2 entdeckt. Aktualisierte Versionen wurden vom PHP-Team veröffentlicht.

Im Internet kursiert zurzeit ein Wurm, der nach anfälligen Servern sucht. Dadurch wurden bereits viele Websites in Mitleidenschaft gezogen. Wir möchten unsere Kunden daher erinnern, so schnell wie möglich auf die neuesten PHP-Versionen zu aktualisieren.

Die aktualisierten PHP-Versionen, die die Schwachstelle schließen, sind:
PHP 4.3.10
PHP 5.0.3

Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):

Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.

Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1. Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Über die Veröffentlichung dieser Version kann hier diskutiert werden:
vBulletin 3.0.5 (Deutsch) verfügbar - Feedback

In Beitrag #6 gibt es eine neue private.php, die eine XSS Schwachstelle behebt.

[pogo]

Behobene Fehler in 3.0.4

• 3118 - AdminCP Stats are misaligned
• 3126 - Little typo in includes/functions_databuild.php
• 3132 - Short php tags used in forum.php and upgradecore.php
• 3135 - Problem with adding multiple smilies when the full URL is used
• 3139 - forumpermissions.php: Displaying a single forum is broken
• 3123 - Rebuild Styles is in English
• 3235 - Referral Report
• 3150 - Jelsoft Enterprises Limited Link in Admin Panel
• 3166 - Wrong redirect when changing into pda mode
• 3176 - Wrong link in ACP View Rep Comments
• 3164 - Who's online problem
• 3158 - Copy thread issues
• 3179 - Who's online problem - 2
• 3127 - Indexing Inefficiency
• 3172 - Style Issue Upon Registration
• 3184 - Leave email field
• 3149 - Each time you Preview, you lose a little more of your message
• 3163 - Memberlist Search member then change sort order give wrong result
• 3188 - List Visitors in the Last 24 Hours show lastvisit day
• 3189 - E-mail support for .museum TLD
• 3182 - Parent E-Mail Bug
• 3198 - Uncached template: modifysignature
• 3209 - Moderators now shown in ACP/Forum Manager (Single mode)
• 3203 - Search Users from ACP bug
• 3215 - buildpostcache doesn't work properly
• 3219 - Invalid XHTML
• 3169 - Renaming using does not rename thread starter
• 3221 - Adding a Poll for admins / mods shouldn't expire
• 3193 - Date shown in navbar after event submission is wrong
• 3262 - View Reputation Comments
• 3249 - Announcements one day off
• 3268 - Can't view permissions through forum manager
• 3264 - Wrong links in modcp/banning.php
• 3276 - Images with a width of 1px cause database error
• 3283 - FAQ searching
• 3287 - Postcount Problem with Deleting Forum
• 3115 - running install.php, catching blank page
• 3303 - Partial "Rebuild Search Index" doesn't stop correctly
• 3312 - 'alt3' CSS Class
• 3314 - Image Error in language editing
• 3328 - Wrong text in admincp/statistics
• 3326 - Problems with Memberlist searching when Advanced Search is turned off
• 3348 - Problem with searching for a user in the Mod CP
• 3361 - faq.php unchecked do variable
• 3360 - Forum Links without permissions
• 3351 - Possibility to use every function in a template condition
• 3510 - Two deletions of the same thread will cause database error
• 3365 - "Edited by" shows for admin if user gave reason.
• 3382 - referrerid cookie in register.php
• 3383 - Registration problem with custom field
• 3392 - No sanitization of poststarttime
• 3388 - Existing Searches ignored - Search always rebuilt!
• 3393 - Error handling on save smilies
• 3137 - Error with changing an users avatar via admin cp
• 3427 - Expired password reset results in error with PHP5
• 3485 - Add Camino support to WYSIWYG
• 3536 - Spelling error in ranks_modify_text
• 3488 - Unable to resend email if can view forums is set to no
• 3138 - More untranslated text
• 3195 - custom field on user options page
• 3357 - Problem with "empty" unread_x_nav phrase
• 3526 - Hard-coded phrase
• 3523 - calendar url parsing
• 3522 - variable typo
• 3519 - "Undefined" randomly appearing in posts
• 3512 - external.php fails to check if a password is required for a forum
• 3507 - admincp/user.php -> pruneusers
• 3477 - Subforum (xx Viewing) problem
• 3483 - User Permission Bug
• 3447 - Apache 2 version isn't displayed
• 3505 - Installer does not guess at port for forum/home page URL
• 3334 - $vbphrase[to_delete_a_folder] seems not to be filled
• 3120 - Helptext for profile fields
• 3140 - $vbphrase[terrible] is in the wrong category
• 3161 - $vbphrase[alignment] does not display in vBulletin options
• 3175 - Missing form action attribute
• 3159 - Phrase closed_thread missing in showthread
• 3128 - Quote on a post shown as unread
• 3200 - Some bug in PM
• 3250 - Missing help info for FAQ manager varname
• 3252 - Sentence in the MSN popup
• 3313 - Typo in a phrase
• 3318 - problems with phpinclude_start template
• 3297 - Edit Post Access Keys
• 3322 - Phrase typo
• 3223 - Password History does not do anything
• 3288 - Super Trivial -- Help File...
• 3298 - When drawing poll result bars, language direction not taken into account
• 3325 - Default Time Zone Offset has no effect
• 3404 - Typo in functions_image.php
• 3391 - Different Thread Ratings shown in showthread.php & forumdisplay.php
• 3201 - Failure to edit avatars within AdminCP
• 3338 - Activation error
• 3374 - Combination Of Characters Not Allowing Login
• 3411 - Javascript error in css.php
• 3447 - Apache 2 version isn't displayed
• 3455 - Physical delete a thread does not remove records for "soft deleted posts" inside
• 3202 - Activation Letter and spam
• 3213 - Sort by Last Visit affected by Invisible Mode
• 3237 - Html entity value of space isn't detected
• 3332 - Error when renaming a template when the new name already exists
• 3180 - bbcode manager sql error
• 3352 - Poll Maximum Options
• 3353 - email vbcode not in vbcode list
• 3286 - Opera Search Display Error
• 3225 - Show Default Post Icon description incorrect
• 3379 - SQL Injection in Authorize.net callback code
• 3337 - Add user to your *nothing* list
• 3116 - translating the sort order submit button
• 3240 - Members list not sorting by reputation
• 3405 - Extra htmlspecialchars() on search string display for phrase search

Behobene Fehler in 3.0.5

• 3575 - Javascript error into head of ACP
• 3573 - Can't use some bbcodes
• 3574 - Local date is not shown correctly
• 3580 - New User Email doesn't contain proper strings for Custom Checkbox and Multiple Selects
• 3578 - Can't send PMs to some users when using a multibyte language
• 3582 - Calendar.php (3.0.4) Error in the code
• 3591 - Type in $vbphrase[options_options_minreputationpost_text]
• 3572 - search thread results return other threads
• 3593 - Child Style and '--'
• 3569 - Referrer Check fails when not using port 80
• 3598 - Template Manager - Javascript Error in FireFox
• Additional PHP5 compatibility changes
• Potential security issue
• Changes so enabling NOSHUTDOWNFUNC does not cause conflicts with certain systems.
• New error handler designed to prevent accidental path disclosure

[pogo]

Templateänderungen in 3.0.4

newpoll
Der Hinweistext über die maximale Anzahl von Optionen wird nicht mehr gezeigt, falls keine Begrenzung eingestellt wurde.
Original wiederherstellen? Nein.

help_bbcodes
[ email] vB Code Dokumentation hinzugefügt.
Original wiederherstellen? Nein.

search_results
Alle Instanzen von colspan="20" geändert in colspan="7" für Opera.
Original wiederherstellen? Nein.

modifylist_adduser
Template geändert, damit die leicht veränderten Phrasen benutzt werden können.
Original wiederherstellen? Nein.

FORUMDISPLAY
Angaben zur festen Breiten wurde entfernt damit sehr lange übersetzte Wörter korrekt angezeigt werden.
Original wiederherstellen? Nein.

SHOWTHREAD_SHOWPOST

geändert in
Original wiederherstellen? Nein.

pm_newpm
Änderungen wie in Freddies Beitrag hier durchgeführt.
Original wiederherstellen? Nein.

phpinclude_start
Anweisungen (Kommentar) geändert
Original wiederherstellen? Nein.

editpost
Accesskey für "Entfernen" geändert von 's' in 'd'
Original wiederherstellen? Nein.

pollresult
Die Pollbar Grafikreferenzen wurde geändert damit sie in einer Rechts-nach-Links Textausrichtung korrekt dargestellt werden.
Original wiederherstellen? Ja, wenn Ihre Textausrichtung Rechts-nach-Links ist.

userfield_select
Konsistenz mit anderen select Felder
Original wiederherstellen? Ja, falls gewünscht.


Templateänderungen in 3.0.5

MEMBERINFO Zeile 250, ändern Sie

in

Original wiederherstellen? Ja!

[pogo]

Geänderte Dateien in 3.0.4

/

• announcement.php
• calendar.php
• editpost.php
• external.php
• faq.php
• forumdisplay.php
• global.php
• memberlist.php
• newreply.php
• newthread.php
• poll.php
• postings.php
• private.php
• profile.php
• register.php
• search.php
• showgroups.php
• showthread.php
• usernote.php

/admincp/

• adminreputation.php
• bbcode.php
• css.php
• forum.php
• forumpermission.php
• image.php
• index.php
• misc.php
• stats.php
• template.php
• user.php
• usergroup.php
• usertools.php

/archive/

• global.php
• index.php

/clientscript/

• vbulletin_stdedit.js
• vbulletin_templatemgr.js

/cpstyles/vBulletin_3_Manual/ - Neu!

/includes/

• adminfunctions.php
• adminfunctions_language.php
• adminfunctions_template.php
• functions.php
• functions_databuild.php
• functions_editor.php
• functions_image.php
• functions_login.php
• functions_newpost.php
• functions_online.php
• functions_upload.php
• functions_wysiwyg.php
• init.php
• sessions.php
• vbulletin_credits.php

/modcp/

• moderate.php
• user.php

/subscriptions/

• authorize.php

Geänderte Dateien in 3.0.5

/

• announcement.php
• calendar.php
• faq.php
• forumdisplay.php
• member.php
• newreply.php
• private.php (nur nach Veröffentlichung aktualisiert)
• register.php
• showthread.php

/admincp/

• attachment.php (auch nach Veröffentlichung aktualisiert)
• forum.php (nur nach Veröffentlichung aktualisiert)
• forumpermission.php (nur nach Veröffentlichung aktualisiert)
• user.php (auch nach Veröffentlichung aktualisiert)

/clientscript/

• vbulletin_stdedit.js
• vbulletin_templatemgr.js (auch nach Veröffentlichung aktualisiert)

/includes/

• adminfunctions.php
• adminfunctions_template.php
• adminfunctions_user.php (nur nach Veröffentlichung aktualisiert)
• db_mysql.php
• functions.php
• functions_subscriptions.php
• init.php (nur nach Veröffentlichung aktualisiert)

/subscriptions/

• authorize.php

/install/ - Ein wichtiger Teil der Dateien in diesem Verzeichnis ändert sich mit jeder neuen Version. Laden Sie immer das install Verzeichnis neu hoch!

Hinweis: Dateien mit dem Hinweis nach Veröffentlichung aktualisiert wurde am 08.01.2005 um ca. 05:25 Uhr WEZ+1 aktualisiert.

[Mystics]

Einige Kunden haben uns gefragt, wie man herausfinden kann, ob bei ihrem Server die Sicherheitslücke in vBulletin ausgenutzt wurde.

Da es weder in unserem, noch in Ihrem Interesse ist, dass wir genau beschreiben, wie man die Sicherheitslücke ausnutzen kann, werden wir nur einige Schritte nennen, die Ihnen dabei helfen, einen möglichen Angriff durch diese Sicherheitslücke herauszufinden.

Durchsuchen Sie dazu die Log-Dateien Ihres Webservers nach dem folgenden Text:
&comma=

Wenn Sie dies in den Log-Dateien finden, erstellen Sie dazu bitte keinen Beitrag im Forum. Dies würde das Wissen um die Ausnutzung der Sicherheitslücke nur unnötig weiter verbreiten.

Erstellen Sie bitte stattdessen ein Support-Ticket im Kundenbereich und wir werden zusammen mit Ihnen versuchen, herauszufinden, was passiert ist.

[Mystics]

Es wurde eine XSS Sicherheitslücke in der Datei private.php aller vBulletin 3.0.X Versionen entdeckt. Diese Sicherheitslücke ist zwar bei weitem nicht so gravierend wie die Sicherheitslücke, die Version 3.0.5 erforderlich gemacht hat, jedoch empfehlen wir dringend allen Kunden, diese Datei bei ihrer vBulletin-Installation mit der aktuellen Version zu ersetzen.

Im Anhang dieses Beitrags finden Sie eine neue Version der Datei private.php. Laden Sie diese Datei in Ihr Forum-Verzeichnis hoch und überschreiben Sie dabei die alte Datei Ihrer vBulletin-Installation. Diese Datei behebt die Sicherheitslücke.

Des Weiteren finden Sie weiter unten eine Anleitung, wie Sie manuell den Fehler in der Datei beheben können.

Zeitgleich wurde das vBulletin-Paket im Kundenbereich mit der neuen Datei aktualisiert. Falls Sie vBulletin 3 vor dieser Ankündigung heruntergeladen haben, laden Sie es bitte erneut herunter oder verwenden Sie die im Anhang befindliche Datei.

Die Entwickler möchten Ihnen erneut versichern, dass es nicht in ihrer Absicht liegt, Sie so häufig zum Aktualisieren "zu zwingen". Sobald jedoch eine Sicherheitslücke entdeckt wird -unabhängig wie schwerwiegend diese ist- sind sie bestrebt, diese Sicherheitslücke so schnell wie möglich zu schließen - meistens noch am selben Tag, egal ob es an einem Feiertag oder an jedem anderen Tag im Jahr ist. Letzte Woche gab es leider vermehrt Berichte über Sicherheitslücken und obwohl die vBulletin-Entwickler stets darauf bedacht sind, vBulletin vollkommen frei von Sicherheitslücken zu halten, werden manchmal Fehler bei internen Prüfungen übersehen.

Danke für Ihr Verständnis.

Herausfinden, ob Sie bereits die aktuellste Datei haben

Wenn Sie sich nicht sicher sind, ob Sie bereits die aktuellste Version dieser Datei haben, können Sie in Ihrer private.php nach diesem Text suchen:

CVS: $RCSfile: private.php,v $ - $Revision: 1.262.2.3 $

Wenn Sie diesen Text finden, haben Sie bereits die aktuellste Version und brauchen nichts weiter zu unternehmen.

Fehler manuell beheben

Suchen Sie in Ihrer private.php nach:

Code:

construct_checkboxes($pm);

Fügen Sie darüber ein:

Code:

$pm['recipients'] = htmlspecialchars_uni($pm['recipients']);