vBulletin 3.6.3 verfügbar

[pogo]

vBulletin 3.6.3

Ein bisher nicht dokumentiertes Verhalten in allen Windows-Versionen des Internet Explorers führt dazu, dass vBulletin über eine XSS-Schwachstelle anfällig ist. Daher wird mit vBulletin 3.6.3 ein präventives Sicherheitsrelease veröffentlicht, bevor die Schwachstelle über den Internet Explorer ausgenutzt werden kann.

vBulletin 3.6.3 enthält zudem Korrekturen für ca. 50 Fehler, die in vBulletin 3.6.2 entdeckt wurden. Daher empfehlen wir allen Kunden, sobald wie möglich auf vBulletin 3.6.3 zu aktualisieren. Falls das nicht möglich sein sollte und augenblicklich vBulletin 3.6.2 eingesetzt wird, kann auch der Patch zur Beseitigung der XSS-Schwachstelle benutzt werden.

So aktualisieren Sie Ihr vBulletin, um die XSS-Schwachstelle zu beseitigen:

Beachten Sie bitte, dass auch alle anderen vBulletin-Versionen von dieser XSS-Schwachstelle betroffen sind. Lesen Sie dazu bitte die entsprechenden Ankündigungen!

Sie haben zwei Möglichkeiten, die XSS-Schwachstelle zu beseitigen:

1. Vollständiges Upgrade: Der beste Weg, das Problem zu beheben, ist ein vollständiges Upgrade, indem das komplette vBulletin 3.6.3 Paket aus dem Kundenbereich heruntergeladen und das normale Upgrade durchgeführt wird.
2. Patch: Laden Sie die Patch-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien. Die Patch-Datei ist auch auf der Patchseite im Kundenbereich verfügbar!

Hinweise, Anleitungen und Diskussion zu dieser Veröffentlichung

[pogo]

Das Patch-Paket, das im Kundenbereich zur Verfügung steht, erlaubt es Ihnen, die XSS-Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.6.2 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.

• includes/class_image.php

Hinweis:

• Wenn Sie den Patch in diesem Beitrag nicht herunterladen können, werden Sie nicht als Lizenz-Inhaber erkannt. Bitte lesen Sie dieses Thema, um zu erfahren, wie Sie als Lizenz-Inhaber erkannt werden können.
• Sie brauchen den Patch nicht, wenn Sie ein vollständiges Upgrade auf vBulletin 3.6.3 durchführen.
• Wenn Sie den Patch nutzen, ändert sich die Versionsnummer Ihres vBulletin nicht. Die Versionsnummer ändert sich nur bei einem vollständigen Upgrade auf 3.6.3.

Sicherheits-Patch für vBulletin 3.6.2 herunterladen.

[pogo]

Hier sind nur die Templates aufgelistet, die seit vBulletin 3.6.2 geändert wurden.

Wenn Sie noch nicht vBulletin 3.6.2 einsetzen, gibt es weitaus mehr als die hier aufgelisteten geänderten Templates. Verwenden Sie die Funktion "Aktualisierte Templates suchen", um die geänderten Templates zu finden und die Änderungen durchzuführen. Alternativ können Sie auch einen neuen Originalstyle erstellen.

Hinweis:
Sie müssen in diesem Beitrag nur nach Templates suchen, die Sie in Ihren Styles verändert haben. Templates, die Sie nicht geändert haben, sind nach dem Update automatisch auf dem aktuellsten Stand und müssen nicht von Ihnen überprüft werden.

Wenn Sie in dieser Liste ein Template finden, das Sie verändert haben, werden Sie wahrscheinlich die hier genannten Änderungen übernehmen wollen. Jedoch ist dies nicht immer notwendig. Bei jeder Änderung sehen Sie den Punkt "Original wiederherstellen:". Dies bezieht sich darauf, ob die Änderungen zwingend (ja) gemacht werden müssen. Wenn dies der Fall ist, werden einige Sachen nicht funktionieren, bevor Sie nicht diese Änderungen durchgeführt haben. Es ist unbedingt anzuraten, die Originale von diesen Templates wiederherzustellen und die von Ihnen gemachten Änderungen erneut durchzuführen.

Zusätzlich können Sie die Funktion "Aktualisierte Templates suchen" im Administrator-Kontrollzentrum verwenden, um Templates zu finden, die seit Ihrer letzten Änderung im Original verändert wurden.

-----------------------------------------------------

announcement_edit

Das Eingabefeld für den Titel nutzt nun $announcementino[title_safe] und das Attribut maxlength wurde entfernt.

Original wiederherstellen? Ja




modifyavatar
modifysignature

Überflüssiges </if> aus dem Template entfernt. Bug-Report

Original wiederherstellen? Nein




modifyprofilepic

No Profile Picture Specified geändert in $vbphrase[no_profile_picture]

Original wiederherstellen? Nein - dient nur der Übersetzung




register

Code:

<input id="referrerfield_txt" type="text" class="bginput" name="referrername" value="$referrername" size="50" maxlength="250" />

geändert in

Code:

<input id="referrerfield_txt" type="text" class="bginput" name="referrername" value="$referrername" size="50" maxlength="$vboptions[maxuserlength]" />

Original wiederherstellen? Nein, Bug-Report




SHOWTHREAD_SHOWPOST

Der Knopf zum Schließen des Fensters wird nur gezeigt, wenn das Fenster mittels Javascript geöffnet wurde. Bug-Report

Original wiederherstellen? Nein




search_results_postbit

$show['hidden'] geändert in $show['moderated'], da $show['hidden'] nicht existierte.

Original wiederherstellen? Nein




editor_toolbar_off

Code:

<div class="controlbar" style="text-align:$stylevar[left]">

geändert in

Code:

<div style="text-align:$stylevar[left]">

Original wiederherstellen? Nein

[pogo]

• /
  
  • announcement.php
    
  • external.php
    
  • forumdisplay.php
    
  • global.php
    
  • infraction.php
    
  • inlinemod.php
    
  • newattachment.php
    
  • newreply.php
    
  • postings.php
    
  • profile.php
    
  • report.php
    
  • showthread.php
    
  • subscription.php
    
  • usercp.php
    
  • usernote.php
• admincp/
  
  • adminpermissions.php
    
  • attachment.php
    
  • diagnostic.php
    
  • index.php
    
  • options.php
    
  • template.php
    
  • user.php
    
  • usertools.php
• clientscript/
  
  • vbulletin_ajax_imagereg.js
    
  • vbulletin_cpcolorpicker.js
    
  • vbulletin_global.js
    
  • vbulletin_menu.js
    
  • vbulletin_quick_reply.js
    
  • vbulletin_textedit.js
• cpstyles/ - alle cp_logo.gif Dateien wurden überarbeitet und enthalten das ®-Zeichen
• images/
  
  • buttons/
    
    • email.gif
      
    • find.gif
      
    • sendpm.gif
      
    
    
  • misc/ (®-Zeichen hinzugefügt)
    
    • vbulletin2_logo.gif
      
    • vbulletin3_logo_grey.gif
      
    • vbulletin3_logo_white.gif
      
    
    
  • regimage/fonts/
    
    • HECK.TTF
      
    • SPONGY.ttf
      
    • WetPet.ttf
      
• includes/
  
  • adminfunctions.php
    
  • adminfunctions_options.php
    
  • class_bbcode.php
    
  • class_bbcode_alt.php
    
  • class_core.php
    
  • class_database_explain.php
    
  • class_dm_infraction.php
    
  • class_dm_user.php
    
  • class_image.php
    
  • class_paid_subscription.php
    
  • class_postbit_alt.php
    
  • class_rss_poster.php
    
  • class_upload.php
    
  • functions.php
    
  • functions_forumdisplay.php
    
  • functions_newpost.php
    
  • functions_wysiwyg.php
    
  • init.php
    
  • cron/promotion.php
    
  • xml/
    
    • bitfield_vbulletin.xml
      
    • cpnav_vbulletin.xml
      
• install/ - (alle Dateien)

[pogo]

PHP- und MySQL-Anforderungen

Bitte nehmen Sie zur Kenntnis, dass vBulletin 3.6.x mindestens PHP 4.3.3 und MySQL 4.0.16 oder neuer voraussetzt.


Template-Änderungen

Viele der Templates wurden seit vBulletin 3.5.x und 3.6.x geändert, um neue Funktionen zu unterstützen. Aus diesem Grund müssen Sie die Originale einiger Templates wiederherstellen, da ansonsten einige Bereiche in Ihrem Forum nicht fehlerfrei funktionieren werden.

Wenn Sie bereits vBulletin 3.6.2 einsetzen, können Sie in der Ankündigung zu vBulletin 3.6.3 sehen, welche Templates sich geändert haben.


Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):


Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.


Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1. Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Die Vorgehensweise ist also wie bei vBulletin 3.0.x / 3.5.x auch.

Wenn Sie Templates geändert haben und auf vBulletin 3.6.3 aktualisieren, müssen Sie eventuell viele dieser Templates wiederherstellen ("Original wiederherstellen"), ansonsten werden einige Bereiche in Ihrem Forum nicht funktionieren!


Bug-Reports

Fehler und Probleme können Sie am besten im Bug Tracker bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!


Diskussion

Über die Veröffentlichung dieser Version kann hier diskutiert werden: vBulletin 3.6.3 verfügbar - Feedback.

[pogo]

push