vBulletin 3.0.6 (Deutsch) und 2.3.6 (Deutsch) verfügbar

[pogo]

vBulletin 3.0.6 und 2.3.6

vBulletin 3.0.6 und 2.3.6 beheben eine XSS-Schwachstelle im vB Code Parser, sowie weitere nicht kritische Fehler.

Alle vBulletin-Versionen sind von dieser Schwachstelle betroffen. Der einzige Workaround (ohne Upgrade oder Patch) ist, die Verwendung von vB Code in Signaturen und im Forum zu deaktivieren.

Wir empfehlen allen Kunden, ihre vBulletin-Version so bald wie möglich zu aktualisieren bzw. zu patchen. Am Ende dieses Beitrags finden Sie die Dateien zum Beheben der XSS-Schwachstelle für vBulletin 3 (includes/functions_bbcodeparse.php) und für vBulletin 2 (admin/functions.php). Überschreiben Sie die Dateien auf Ihrem Server mit denen aus den angehängten Archiven.

Erneut möchten wir ausdrücken, dass die Sicherheit eines unserer größten Anliegen ist. In der letzten Zeit gab es einige Meldungen über Schwachstellen, die die lezten Veröffentlichungen nach sich zogen. Natürlich ist uns auch bewusst, dass häufige neue Versionen in einigen Fällen viel Arbeit mit sich bringen können. Das tut uns natürlich Leid, aber wir sehen es als unsere Aufgabe, dass wir nach dem Bekanntwerden einer Schwachstelle schnell reagieren und eine Lösung anbieten können. Dazu werden weitere Sicherheitsprüfungen vorgenommen und Überlegungen angestellt, den vBulletin Kern in einer Weise zu optimieren, dass Schwachstellen, wie sie kürzlich aufgetreten sind, in Zukunft weitgehend vermieden werden können.


Performance-Einbruch seit PHP 4.3.10 / 5.0.3

Viele Betreiber von vBulletin, aber auch von anderen PHP-Skripten, haben bemerkt, dass vBulletin plötzlich erheblich langsamer läuft, nachdem auf die PHP-Version 4.3.10 bzw. 5.0.3 aktualisiert wurde, um die Schwachstellen in PHP zu beheben.

Als Grund für den Performance-Einbruch wurde ein Fehler in der PHP-Funktion unserialize() verantwortlich gemacht. Weitere Details finden Sie unter bugs.php.net.

Das Problem wurde inzwischen von den PHP-Entwicklern behoben. Da es aber noch keine neue stabile PHP-Version mit diesem Fix gibt, besteht die einzige Möglichkeit, die ursprüngliche Geschwindigkeit wiederherzustellen, darin, dass ein CVS Snapshot von 4.3.x bzw. 5.0.x installiert wird. Diese sind erhältlich unter snaps.php.net.

Auch wenn es nicht empfehlenswert ist, eine Entwicklungsversion von PHP in einer Produktivumgebung einzusetzen, ist es derzeit die einzige Möglichkeit, das Performanceproblem in den Griff zu bekommen. Sollten Sie also stark betroffen sein, können Sie sich den Wechsel der PHP Version auf eigenes Risiko überlegen.


Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):

Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.

Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1. Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.


Bitte denken Sie daran, dass wenn Sie eine vBulletin-Version älter als 3.0.5 betreiben und diese nur patchen möchten, dass Sie auch die Patchdateien aus der vBulletin 3.0.5 Ankündigung in Ihr vBulletin einfügen!


19.01.2005, 17:01 - Der vBulletin 2 Patch wie auch das vBulletin 2.3.6 Paket im Kundenbereich wurden aktualisiert. Details hier (engl.)

[pogo]

Behobene Fehler in 3.0.6

• 3586 - Firefox Standard Editor - Increase and Decrease window size does not work
• 3618 - Wrong "Format For Date" Examples
• 3612 - "Forum Home Page" Link (Purely Cosmetic)
• 3478 - SQL Backup produces invalid files
• 3346 - Mozilla WYSIWYG Editor Adds Extra Spaces
• 3605 - Typo in private.php
• 3608 - "Display Age" cannot be translated
• 3609 - “Birthday Date Format Override” lost when exporting/importing language
• 3615 - Search by last visit in admincp returns incorrect data
• 3639 - Multiple choice poll percentages calculated incorrectly
• 3644 - PM_MESSAGELISTBIT_USER uncached
• 3647 - Datastore not rebuilt after delete custom phrase
• 3648 - Scheduled task names double escaped
• 3630 - Missing phrase activating_registration
• 3652 - language_files_text phrase missing content
• 3624 - SQL error when searching FAQ (MySQL 4.1.x)
• 3654 - Double slashes in URL path break login redirection
• 3653 - Searching for exact User causes mySQL-Error
• 3623 - Invalid XHTML (& not & )
• 3663 - Add smilies help misdocumented
• 3620 - POST referrer check broken
• 3665 - Redirect forums browsable in archive
• 3667 - Grammar error on user moderation page
• 3662 - Logging on forum list in archive fails
• 3660 - Orphaned polls cause JS error on "Who Voted"
• 3618 - Date format example incorrectly
• 3612 - Forum home page link in mod CP missing
• 3640 - Paid Subscription DB error
• 3366 - Invalid characters not stripped on XML export
• 3482 - strip_bbcode()/strip_quotes() slow in specific case
• 3666 - password history only works on the 2nd try
• 3650 - Uncached templates in forumdisplay.php
• 3643 - strip_bbcode should remove URL's when checking signature length
• 3568 - Old versions of Camino show WYSIWYG
• 3642 - Start Date has no effect in Paid Subscriptions
• 3421 - Merging users ignores paid subscriptions
• 3527 - # not added to hex colors in signature
• 3459 - Alignment tags display in PHP tags
• 3669 - Holiday system cannot handle Leap Day
• 3617 - Moderated Posts showing up in admin panel home
• Possible XSS issue in private.php (fixed previously)
• Possible XSS with BB code parsing and invalid nesting

Behobene Fehler in 2.3.6

• Possible XSS with BB code parsing and invalid nesting
• Search wildcards not displayed properly in page nav
• Install/upgrade schema invalid in recent versions of MySQL
• Possible XSS issues in private.php/showthread.php

[pogo]

Templateänderungen in 3.0.6

headinclude
Ändern Sie:

var SESSIONURL = "$session[sessionurl]";

in

var SESSIONURL = "$session[sessionurl_js]";

Original wiederherstellen? Ja, damit der richtige Sessionhash für Javascript-Links benutzt wird.


editor_toolbar_standard
editor_toolbar_wysiwyg
Links zum Vergrößern/Verkleinern des Texteingabefeldes
Original wiederherstellen? Ja, wenn Sie diese Funktion nutzen möchten.


pollresults_table
Der Text "Multiple-Choice-Umfrage" wird bei den entsprechenden Umfragen angezeigt.
Original wiederherstellen? Ja, wenn Sie diese Funktion nutzen möchten.


im_send_msn
Eine Fehleranzeige wird unterdrückt, wenn man versucht MSN zu benutzen, ohne bei MSN eingeloggt zu sein.
Original wiederherstellen? Nein.

[pogo]

Geänderte Dateien in 3.0.6

• /
  
  • attachment.php
  • calendar.php
  • cron.php
  • forumdisplay.php
  • global.php
  • image.php
  • index.php
  • login.php
  • memberlist.php
  • poll.php
  • private.php
  • profile.php
  • search.php
  • showthread.php
  • subscription.php
  • usercp.php
• /admincp/
  
  
  • attachment.php
  • cronadmin.php
  • forum.php
  • forumpermission.php
  • image.php
  • index.php
  • phrase.php
  • subscriptions.php
  • template.php
  • thread.php
  • user.php
  • usertools.php
• /archive/
  
  
  • index.php
• /clientscript/
  
  
  • vbulletin_editor.js
  • vbulletin_stdedit.js
  • vbulletin_templatemgr.js
• /includes/
  
  
  • adminfunctions_backup.php
  • adminfunctions_language.php
  • adminfunctions_template.php
  • adminfunctions_user.php
  • functions.php
  • functions_bbcodeparse.php (aktualisiert 19. Januar, 17:35 Uhr; Info)
  • functions_cron.php
  • functions_editor.php
  • functions_newpost.php
  • functions_subscriptions.php
  • functions_wysiwyg.php (aktualisiert 19. Januar, 2:35 Uhr; Info)
  • functions_xml.php
  • init.php
  • modfunctions.php
  • sessions.php
• /modcp/
  
  
  • index.php
  • user.php

Geänderte Dateien in 2.3.6

• /
  
  • private.php
  • showthread.php
• /admin/
  
  • functions.php
  • andere Dateien enthalten nur Versionsnummeränderungen

[pogo]

Über die Veröffentlichung dieser Versionen kann hier diskutiert werden:

vBulletin 3.0.6 (Deutsch) verfügbar - Feedback

vBulletin 2.3.6 (Deutsch) verfügbar - Feedback

[pogo]

Bitte denken Sie daran, dass wenn Sie eine vBulletin-Version älter als 3.0.5 betreiben und diese nur patchen möchten, dass Sie auch die Patchdateien aus der vBulletin 3.0.5 Ankündigung in Ihr vBulletin einfügen!