vBulletin 3.5.4 (Deutsch) verfügbar

**pogo** · 22.02.2006, 11:58

vBulletin 3.5.4

vBulletin 3.5.4 behebt eine kürzlich entdeckte XSS-Sicherheitslücke, die von imei addmimistrator entdeckt wurde. Es wurden einige Fehler behoben und ein paar neue Features hinzugefügt.

Neues Feature: Erweiterte Datei-Diagnose

Ab vBulletin 3.5.4 gibt die Funktion "Dateiversionen anzeigen" (Administrator-Kontrollzentrum > Wartung > Diagnose > Dateiversionen anzeigen) mehr Informationen über die verwendeten Dateien aus, was besonders bei Supportanfragen sehr nützlich ist.

Die alte Funktion hat nur die Dateiversionen mit der aktuell installierten vBulletin-Version verglichen. Es wurde also gemeldet, wenn z.B. die index.php aus Version 3.5.2 zusammen mit vBulletin 3.5.4 benutzt wird.

Die neue Funktion enthält weitere Prüfmethoden:

Versionsvergleich:
Es wird weiterhin die Dateiversion mit der vBulletin Version verglichen
Datei nicht gefunden:
Es wird nach fehlenden Dateien gesucht
Datei unbekannt:
Es werden alle Skript-Dateien angezeigt, die nicht zu vBulletin gehören
Unerwarteter Dateiinhalt:
Die letzte und wichtigste Prüfroutine vergleicht MD5-Hashsummen, die für jede Datei beim Herunterladen des vBulletin-Pakets erstellt werden. Verglichen wird die aktuelle MD5-Hashsumme jeder Datei mit der beim Herunterladen erstellten MD5-Hashsumme. Ist die MD5-Hashsumme nicht identisch, bedeutet das, dass die Datei verändert wurde oder nicht richtig auf den Server hochgeladen wurde.

Neues Feature: SkypeWeb-Integration

Mit SkypeWeb kann man den Onlinestatus eines Skype-Benutzers auf Webseiten abrufen. Dies ist auch in vBulletin möglich.

Anhang 4161 Anhang 4162

Bei vBulletin 3.5.3 Foren, auf denen bereits das SkypeWeb-Plug-in installiert ist, wird dieses Plug-in beim Upgrade automatisch entfernt und gegen die in vBulletin eingebaute Version ersetzt.

Änderungen am Archiv:

Die Ausgabe des Archivs wird ab jetzt gepuffert, bevor sie an den Browser geschickt wird. Plug-ins, die sich in das Archiv einklinken, müssen überarbeitet werden, damit es weiterhin funktioniert.

Alle vBulletin-Versionen 3.5 sind von dieser Schwachstelle betroffen. Wir empfehlen daher allen Kunden, ihre vBulletin-Version so bald wie möglich zu aktualisieren bzw. zu patchen.

Für die vBulletin 3.5.x-Reihe ist dies auf drei Arten möglich:

Vollständiges Upgrade: Der beste Weg das Problem zu beheben ist ein vollständiges Upgrade, indem das komplette vBulletin 3.5.4 Paket aus dem Kundenbereich heruntergeladen wird und das normale Upgrade durchgeführt wird
Patch: Laden Sie die ZIP-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien.
Plug-in: Das Plug-in-System von vBulletin 3.5 erlaubt es Ihnen, die XSS-Sicherheitslücke mit einem einfachen Plug-in zu beheben. Die XML-Datei mit dem Plug-in befindet sich auch als Anhang in diesem Thema und ist der einfachste Weg das Problem zu beheben, da keine Dateien via FTP hochgeladen werden müssen. Das Plug-in wird automatisch entfernt, wenn Sie das nächste vollständige Upgrade durchführen.

In vBulletin 3.5.4 wurden auch viele Fehler behoben. Hier finden Sie eine Liste mit den behobenen Fehlern.

Wenn Sie vBulletin 3.0.x einsetzen, lesen Sie bitte die Ankündigung zu vBulletin 3.0.13.

Anleitung für die Installation / für das Update

Um vBulletin 3.5.x zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):

Neu-Installation von vBulletin 3.5.x

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.

Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1.
Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Sollten Sie von vBulletin 3.0.x aktualisieren, müssen Sie die config.php aus dem vBulletin 3.5.x Archiv neu einrichten!

Bug-Reports (3.5.x)

Fehler und Probleme können Sie am besten im Bug Tracker bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!

Anweisungen zum Patch

Wenn Sie vBulletin ab Version 3.5.0 einsetzen, können Sie die XSS-Sicherheitslücke beheben, indem Sie das angehängte Archiv herunterladen und die darin enthaltenen Dateien in Ihr includes Verzeichnis entpacken. Dadurch überschreiben Sie die existierenden Dateien auf Ihrem Server und bekommen dabei normalerweise einen entsprechenden Hinweis von Ihrem FTP-Programm. Nach dem Überschreiben der Dateien ist Ihr Forum wieder sicher.

**pogo** · 22.02.2006, 12:32

Das Patch-Paket, das im Kundenbereich zur Verfügung steht, erlaubt es Ihnen, die XSS-Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.5.3 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.

sendmessage.php
includes/functions.php

Hinweis:

Sie brauchen diese Dateien nicht, wenn Sie ein vollständiges Upgrade auf 3.5.4 durchführen.
Sie brauchen diese Dateien nicht, wenn Sie die Sicherheitslücke mit dem Plug-in schließen (siehe Beitrag unten).

Sicherheits-Patch für vBulletin 3.5.3 herunterladen.

**pogo** · 22.02.2006, 12:34

Die Datei im Anhang erlaubt es Ihnen, die XSS-Sicherheitslücke mit dem vBulletin Plug-in-System zu beheben, ohne ein vollständiges Upgrade durchzuführen.

Laden Sie die XML-Datei herunter und führen Sie dann folgende Schritte im Administrator-Kontrollzentrum durch:

Administrator-Kontrollzentrum -> Plug-in-System -> Produkte verwalten -> [Produkt hinzufügen/importieren]

Wählen Sie dann über die Durchsuchen-Schaltfläche die Datei "product-vb353security.xml" von Ihrer Festplatte aus und klicken Sie auf Importieren.

Hinweis:

Sie brauchen diese Dateien nicht, wenn Sie ein vollständiges Upgrade auf 3.5.4 durchführen.
Sie brauchen diese Dateien nicht, wenn Sie die Sicherheitslücke mit Dateien aus dem Patch-Paket beheben (siehe Beitrag oben).
Wenn Sie diese Datei nicht herunterladen können, lesen Sie bitte dieses Thema.

**pogo** · 22.02.2006, 13:32

Hier sind nur die Templates aufgelistet, die seit vBulletin 3.5.3 geändert wurden.

Wenn Sie noch nicht vBulletin 3.5.3 einsetzen, gibt es weitaus mehr als die hier aufgelisteten geänderten Templates. Verwenden Sie die Funktion "Aktualisierte Templates suchen", um die geänderten Templates zu finden und die Änderungen durchzuführen. Alternativ können Sie auch einen neuen Originalstyle erstellen.

Hinweis:
Sie müssen in diesem Beitrag nur nach Templates suchen, die Sie in Ihren Styles verändert haben. Templates, die Sie nicht geändert haben, sind nach dem Update automatisch auf dem aktuellsten Stand und müssen nicht von Ihnen überprüft werden.

Wenn Sie in dieser Liste ein Template finden, das Sie verändert haben, werden Sie wahrscheinlich die hier genannten Änderungen übernehmen wollen. Jedoch ist dies nicht immer notwendig. Bei jeder Änderung sehen Sie den Punkt "Original wiederherstellen:". Dies bezieht sich darauf, ob die Änderungen zwingend (ja) gemacht werden müssen. Wenn dies der Fall ist, werden einige Sachen nicht funktionieren, bevor Sie nicht diese Änderungen durchgeführt haben. Es ist unbedingt anzuraten, die Originale von diesen Templates wiederherzustellen und die von Ihnen gemachten Änderungen erneut durchzuführen.

Zusätzlich können Sie die Funktion "Aktualisierte Templates suchen" im Administrator-Kontrollzentrum verwenden, um Templates zu finden, die seit Ihrer letzten Änderung im Original verändert wurden.

-----------------------------------------------------

reportbadpost

Abschließendes Tag für das Formular hinzugefügt (</FORM>).

Original wiederherstellen: Technisch gesehen Ja

pm_receiptsbit

Fehlendes </SPAN> Tag hinzugefügt. Bug-Report

Original wiederherstellen: Nein

memberinfo_membergroupbit

Unterdrücken eines : durch eine Template-Bedingung, wenn keine Beschreibung vorliegt. Bug-Report

Original wiederherstellen: Nein

search_forums

Änderung von:

Code:

<IF condition="$bbuserinfo['userid']">

in:

Code:

<IF condition="$show['member']">

Original wiederherstellen: Nein

im_skype
im_send_skype
MEMBERINFO

Kleine Änderungen zur Unterstützung von SkypeWeb.

Original wiederherstellen: Nein, es sei denn, Sie möchten die SkykeWeb-Anzeige nutzen.

help_bbcodes

Änderung einer Phrase. Bug-Report

Original wiederherstellen: Nein

modifypassword

Änderungen, so dass gesperrte Benutzer, die das Forum noch sehen dürfen, ihr Kennwort ändern können, aber nicht ihre E-Mail-Adresse.

Original wiederherstellen: Nein

calendar_edit
newreply
newthread
SHOWTHREAD
STANDARD_ERROR_LOGIN (neues Template)

Wenn Gäste Beiträge schreiben dürfen und die Session eines registrierten Benutzers abgelaufen ist, kann sich der registrierte Benutzer wieder anmelden, ohne seinen geschriebenen Beitrag zu verlieren.

Original wiederherstellen: Nein, aber empfohlen, wenn Gäste Beiträge schreiben dürfen.

navbar

Label-Tags für Benutzername und Kennwort hinzugefügt.

Original wiederherstellen: Nein

pm_newpm

Ungültiger HTML-Code korrigiert. </TD></TR> hinzugefügt.

Original wiederherstellen: Nein

usernote_note

Änderungen, so dass sich der Smileykasten korrekt der Größe anpasst, falls erforderlich.

Original wiederherstellen: Nein

**pogo** · 22.02.2006, 13:38

Geänderte Dateien in 3.5.4

/
- ajax.php
- attachment.php
- calendar.php
- cron.php
- editpost.php
- external.php
- forumdisplay.php
- global.php
- inlinemod.php
- misc.php
- newreply.php
- newthread.php
- payment_gateway.php
- postings.php
- profile.php
- register.php
- search.php
- sendmessage.php
- showthread.php
- subscription.php
- usercp.php
admincp/
- accessmask.php
- diagnostic.php
- global.php
- index.php
- plugin.php
- user.php
- usertools.php
archive/
- global.php
- index.php
clientscript/
- vbulletin_ajax_namesugg.js
- vbulletin_textedit.js
includes/
- adminfunctions.php
- adminfunctions_language.php
- adminfunctions_template.php
- class_bbcode.php
- class_bbcode_alt.php
- class_core.php
- class_dm.php
- class_dm_moderator.php
- class_dm_threadpost.php
- class_dm_user.php
- class_paid_subscription.php
- class_postbit.php
- functions.php
- functions_cron.php
- functions_databuild.php
- functions_digest.php
- functions_forumlist.php
- functions_misc.php
- functions_newpost.php
- functions_online.php
- functions_user.php
- cron/
  - activate.php
  - promotion.php
  - reminder.php
- paymentapi/
  - class_authorizenet.php
- xml/
  - bitfield_vbulletin.xml
install/ - (alle Dateien)
modcp/
- global.php

**pogo** · 22.02.2006, 13:39

Über die Veröffentlichung dieser Version kann hier diskutiert werden:
vBulletin 3.5.4 (Deutsch) verfügbar - Feedback

**pogo** · 23.02.2006, 13:49

Es wurde ein Problem mit der functions.php aus dem Patch-Paket entdeckt.
Betroffen sind nur Kunden, die das Patch-Paket heruntergeladen haben.
Bei einem kompletten Upgrade oder dem Import des Patch-Plug-ins tritt das Problem nicht auf.

Problem:
Einige Benutzer können nach dem Patchen nicht mehr im Forum angemeldet bleiben.

Sollte dieser Fall auftreten, laden Sie bitte das Patch-Paket neu herunter.