Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.5.8.
Probleme und Bugs bitte im entsprechenden Forum beschreiben oder direkt im Bug Tracker bei vBulletin.com melden.
Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.5.8.
Probleme und Bugs bitte im entsprechenden Forum beschreiben oder direkt im Bug Tracker bei vBulletin.com melden.
Geändert von pogo (02.03.2007 um 19:06 Uhr)
Die aktuelle Version ist doch aber jetzt die Version 3.5.8 oder?Zitat von pogo
VB = Visual Basic | vBB = versatileBulletinBoard | vB = vBulletin
Home of the Sebijk.com - Die soziale Online-Community
Freiheit statt Angst - Stoppt den Überwachungswahn
Warum man OTR benutzen sollte ... und statt ICQ besser Jabber.
Erweiterte Jabber-Integration für vBulletin - Jabber social group at vBulletin.com
Hmm...*nachdenk*...*stirnrunzel*...JA!
Entwickler-Blogs in deutsch, Farbe und BUNT!
Mein Wunschzettel
Warum du keine Anhänge herunterladen kannst!
Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!
Oder anders formuliert...
Der Angreifer muss nur die Lizenznummer von uns kennen! Die ich ja netterweise häufiger per Email von vBulletin bekomme.
Was sonst muss dazu noch zutreffen? Muss zusätzlich noch /install und/oder /admincp von aussen erreichbar sein?
Wir wollen es den Hackern natürlich nicht zu einfach machen, aber ein klein wenig mehr Informationen zu dem Sicherheitsproblem wäre schon hilfreich.
Und schade, dass es diesmal keinen Patch per Plugin gibt.
Grüße,
Gucky.
das admin cp sollte IMMER mit htaccess gesichert sein (es schadet auch nicht den ordner einfach umzubenennen z.b. admin-cp_vb-3.6 oder so in der art)
der install ordner kann eigentlich komplett gelöscht werden(mache zumindest ich immer so)
www.VIS-Network.de High Quality Spam since 2003
So einfach ist es nun doch nicht.
Der Angreifer MUSS in jedem Fall Moderator sein.
Hinzu kommen dann noch die anderen Punkte ((2+3) oder 4).
Entwickler-Blogs in deutsch, Farbe und BUNT!
Mein Wunschzettel
Warum du keine Anhänge herunterladen kannst!
Suchst du Hacks, Add-ons, Modifikationen, Styles, Buttons und mehr? -> Auf zu vBGo!
Hm, dann ist die Liste in der Ankündigung zumindestens merkwürdigt "geklammert".Da das ODER so fett war, interpretierte ich, dass das eine Alternative zu allen drei anderen Punkten ist.
Was ich aber noch nicht verstehe ist, wie die Lizenznummer dem Angreifer helfen kann? In dem Patch ist doch nur die Datei inlinemod.php und dort wurden nur zwei Variablen gesichert, so dass wirklich eine Zahl drinn steht. Das hat doch nichts mit der Lizenznummer zu tun..?
Für mich ist die Lizenznummer kein "Secret" - deswegen beunruhigt mich es, wenn es scheinbar Angriffspunkte gibt, bei denen diese Nummer hilft. Mich würde es vermutlich beruhigen, wenn ich wüsste in welchem Zusammenhang das der Fall ist - sprich ob ich diese Fälle nicht ohnehin schon abgesichert habe. (Dadurch dass /admincp und /install bei uns nicht von aussen erreichbar sind.)
Ich halte die Informationspolitik von vb in diesem Fall für nicht so glücklich. Etwas mehr Infos für alle wäre hilfreich. Die "bösen Jungs" wissen vermutlich ohnehin, was zu tun ist.
Grüße,
Gucky.
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
Berechtigungen
Zitieren
Lesezeichen