vBulletin 3.6.5 verfügbar

[pogo]

vBulletin 3.6.5

Gestern morgen wurde eine Sicherheitslücke gemeldet, die alle Versionen von vBulletin 3.5.x und 3.6.x betrifft. Auch wenn die Beschreibung der Sicherheitslücke und wie sie auszunutzen ist, ungenau ist und nur unter ganz bestimmten und unwahrscheinlichen Bedingungen funktionieren kann, wurde dennoch auf ein Problem in den betroffenen Versionen hingewiesen.

Daher veröffentlichen wir vBulletin 3.5.8 und 3.6.5, die diese Sicherheitslücke beheben. Wir empfehlen allen Kunden, die vBulletin 3.5.x oder 3.6.x einsetzen, auf die jeweils aktuelle Version zu wechseln oder den bereitgestellten Patch einzuspielen.

Um zu zeigen, wie schwer die Sicherheitslücke auszunutzen ist, wird im Folgenden beschrieben, welche Bedingungen der Angreifer erfüllen muss:

• Der Angreifer muss Moderatoren-Rechte haben.
• Der Angreifer muss dieselbe IP-Adresse (oder einen identischen Teil je nach Einstellungen im Admin-Kontrollzentrum unter Genauigkeit der Überprüfung der Session-IP-Adresse) haben wie ein Administrator, der zum Zeitpunkt des Angriffs im Admin-Kontrollzentrum angemeldet sein muss.
• Der Angreifer muss die Alt-IP-Adresse (z.B. die IP-Adresse eines benutzten Proxys) und den User Agent (exakte Browser-Identifikation) des Administrators kennen.
• ODER Der Angreifer muss die Lizenznummer des Forums kennen.

Anhand dieser Bedingungen ist ersichtlich, dass die Sicherheitslücke nur sehr schwer auszunutzen ist.



Behobene Fehler in vBulletin 3.6.5

Die Sicherheitslücke

Die in dieser Ankündigung beschriebene Sicherheitslücke, mit der ein SELECT-Query manipuliert werden könnte, wurde behoben.

Safari Cookies

Bei Nutzern des Apple-Browsers Safari konnte es vorkommen, dass Sie unerwartet aus vBulletin ausgeloggt wurden. Dies trat nur auf, wenn vBulletin auf bestimmten Servern betrieben wurde.
Bugreport...

Internet Explorer 7 Kompatabilität

Viele Diskussionen gab es zu der Tatsache, dass Microsoft sich entschieden hat, eine Sicherheitswarnung im Internet Explorer 7 zu zeigen, wenn die Javascript-Funktion prompt() aufgerufen wird. Das führte dazu, dass der Texteditor in vBulletin ebenfalls eine solche Warnung erzeugte, wenn eine Grafik oder ein E-Mail-Link eingefügt werden sollte. Für vBulletin-Benutzer, die den IE7 einsetzen, wird die Funktion prompt() nicht mehr genutzt. Anstelle dessen wird eine andere Methode für Benutzereingaben verwendet.
Bugreport...


Zusätzlich führen Verbesserungen im Internet Explorer 7 dazu, dass für diesen Browser auf einige Codeteile verzichtet werden kann, die Probleme beim Rendern einer Seite umgehen. Im Besonderen betrifft das das Überlappen von Menüs und <select> Elementen.

Fehler im Verwarn-System

Ein Problem im Zusammenhang mit gesperrten Benutzern, das beim Ablauf von Verwarnungen auftrat, wurde behoben.
Bugreport...

Workaround für ein Problem mit regulären Ausdrücken beim Einloggen unter FreeBSD

Unter FreeBSD ist in einigen aktuellen PHP Version ein Fehler im Zusammenhang mit regulären Ausdrücken zu finden, der sich in vBulletin beim Einloggen zeigen kann. vBulletin umgeht diesen Fehler beim Einloggen, jedoch kann es an anderen Stellen immer noch eine Fehlermeldung geben. Ein Workaround, der diesen Fehler vollständig umgeht, wird in einer späteren vBulletin Version verfügbar sein.

So aktualisieren Sie Ihr vBulletin, um die Schwachstelle zu beseitigen:

Sie haben zwei Möglichkeiten, die Schwachstelle zu beseitigen:

1. Vollständiges Upgrade: Der beste Weg, das Problem zu beheben, ist ein vollständiges Upgrade, indem das komplette vBulletin 3.6.5 Paket aus dem Kundenbereich heruntergeladen und das normale Upgrade durchgeführt wird.
2. Patch: Laden Sie die Patch-Datei aus dem Anhang des nächsten Beitrags herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver. Überschreiben Sie dabei alle bestehenden Dateien. Die Patch-Datei ist auch auf der Patchseite im Kundenbereich verfügbar!

Hinweise, Anleitungen und Diskussion zu dieser Veröffentlichung



Hinweis zu vBulletin 3.6.6

Durch die Veröffentlichung dieser Sicherheitslücke sahen wir uns gezwungen, schnell korrigierte Versionen von vBulletin zu veröffentlichen. Ursprünglich sollte vBulletin 3.6.5 noch weitere Probleme beheben, die seit vBulletin 3.6.4 gemeldet wurden und diverse Verbesserungen einführen.

Unglücklicherweise bedeutet die schnelle Reaktion auf die Sicherheitslücke, dass für den Test der anderen Korrekturen keine Zeit mehr war und diese somit erst in vBulletin 3.6.6 erscheinen werden.

Damit das Upgrade auf vBulletin 3.6.5 so einfach wie nur möglich ist, haben wir weder Veränderungen an den Templates, noch an den Phrasen vorgenommen.

[pogo]

Das Patch-Paket, das im Kundenbereich zur Verfügung steht, erlaubt es Ihnen, die Sicherheitslücke ohne ein vollständiges Upgrade zu beheben.

Laden Sie den Sicherheits-Patch für vBulletin 3.6.4 herunter und entpacken Sie das ZIP-Archiv. Verbinden Sie sich dann mit Ihrem FTP-Server und laden Sie die entpackten Dateien hoch. Überschreiben Sie dabei die bestehenden Dateien auf dem Server.

• inlinemod.php

Hinweis:

• Sie brauchen den Patch nicht, wenn Sie ein vollständiges Upgrade auf vBulletin 3.6.5 durchführen.
• Wenn Sie den Patch nutzen, ändert sich die Versionsnummer Ihres vBulletin nicht. Die Versionsnummer ändert sich nur bei einem vollständigen Upgrade auf 3.6.5.

Sicherheits-Patch für vBulletin 3.6.4 herunterladen.

Sie können den Patch auch direkt hier herunterladen:

[pogo]

• /
  • image.php
  • inlinemod.php
• clientscript/
  • ieprompt.html - neu
  • vbulletin_global.js
  • vbulletin_menu.js
  • vbulletin_textedit.js
• includes/
  • class_core.php
  • functions.php
  • functions_infractions.php
  • functions_login.php
  • ieprompt.jpg - neu
• install/ - (alle Dateien)

Es wurde keine Templates in vBulletin 3.6.5 verändert!

[pogo]

PHP- und MySQL-Anforderungen

Bitte nehmen Sie zur Kenntnis, dass vBulletin 3.6.x mindestens PHP 4.3.3 und MySQL 4.0.16 oder neuer voraussetzt.


Template-Änderungen

Viele der Templates wurden seit vBulletin 3.5.x und 3.6.x geändert, um neue Funktionen zu unterstützen. Aus diesem Grund müssen Sie die Originale einiger Templates wiederherstellen, da ansonsten einige Bereiche in Ihrem Forum nicht fehlerfrei funktionieren werden.

Es wurden keine Templates von vBulletin 3.6.4 zu vBulletin 3.6.5 verändert!


Anleitung für die Installation / für das Update

Um vBulletin 3 zu installieren oder eine ältere Version von vBulletin zu aktualisieren, laden Sie die ZIP-Datei aus dem Kundenbereich herunter, entpacken Sie die Datei und laden Sie den Inhalt des 'upload'-Verzeichnisses auf Ihren FTP Server. Überschreiben Sie dabei alle bestehenden, gleichnamigen Dateien.

Öffnen Sie die Datei 'includes/config.php.new' mit einem Texteditor und passen Sie die Einstellungen entsprechend Ihres Webservers / Ihrer Datenbank an. Benennen Sie diese Datei dann in 'config.php' um und laden Sie sie in das 'includes'-Verzeichnis Ihres FTP-Servers.

Folgen Sie jetzt der entsprechenden Anleitung in den folgenden Zeilen (ersetzen Sie den roten Text mit der URL Ihres Forums):


Neu-Installation von vBulletin 3

Öffnen Sie in Ihrem Browser die URL http://www.ihredomain.de/forum/install/install.php und folgen Sie der Anleitung in Ihrem Browser.


Aktualisierung einer älteren Version

Wir empfehlen Ihnen, dass Sie vorher Ihre Datenbank sichern. Eine Anleitung dazu finden Sie hier in Schritt 1. Öffnen Sie dann in Ihrem Browser die URL http://www.ihredomain.de/forum/install/upgrade.php und folgen Sie der Anleitung in Ihrem Browser.

Die Vorgehensweise ist also wie bei vBulletin 3.0.x / 3.5.x auch.

Wenn Sie Templates geändert haben und auf vBulletin 3.6.5 aktualisieren, müssen Sie eventuell viele dieser Templates wiederherstellen ("Original wiederherstellen"), ansonsten werden einige Bereiche in Ihrem Forum nicht funktionieren!


Bug-Reports

Fehler und Probleme können Sie am besten im Bug Tracker bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Produktsystem nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!


Diskussion

Über die Veröffentlichung dieser Version kann hier diskutiert werden: vBulletin 3.6.5 verfügbar - Feedback.