vBulletin 3.7.0 Release Candidate 4 (Englisch)
Die schlechte Nachricht zuerst: Die Veröffentlichung von vBulletin 3.7.0 ist auf die nächste Woche verschoben. 
Am Wochenende wurden wir über eine Sicherheitslücke informiert, die mittels CSRF (Cross-Site Request Forgery) ausgenutzt werden kann, um einen Administrator/Moderator, der auf eine fremde Seite gelockt wurde, dort unwissenderweise Formulare abschicken zu lassen, die möglicherweise zu einem Datenverlust im Forum des Administrators/Moderators führen können. Aktionen, die über das Administrator-Kontrollzentrum ausgeführt werden, sind von dieser Sicherheitslücke nicht betroffen.
Diese Art der Sicherheitslücke bezieht sich übrigens nicht nur auf vBulletin. Es waren und sind vermutlich noch viele weitere Webanwendungen betroffen, die für CSRF (Cross-Site Request Forgery)-Angriffe anfällig sind.
Wir haben uns nun entgegen unserer Planung für die Veröffentlichung eines weiteren Release Candidates entschieden, da die Vielzahl der nötigen Änderungen für die Behebung der Sicherheitslücke es nicht zuließ, vBulletin 3.7.0 zu veröffentlichen und als stabil zu bezeichnen, ohne wenigstens vorher noch eine Testversion in Umlauf zu bringen.
Die Behebung dieser Sicherheitslücke erfordert Änderungen in sehr vielen Dateien und Templates aller unserer Produkte (vBulletin 3.x, vBulletin-Blog und vBulletin Projektverwaltung).
Zusammen mit vBulletin 3.7.0 Release Candidate 4 ist vBulletin 3.6.10 verfügbar, das zusätzlich zu der Sicherheitslücke auch noch Fehler behebt, die ursprünglich für vBulletin 3.7.0 behoben worden sind.
Neue Versionen von vBulletin-Blog und vBulletin Projektverwaltung werden in den nächsten Tagen folgen.
Unglücklicherweise kann die Sicherheitslücke, aufgrund der hohen Anzahl an geänderten Templates und Dateien, nicht mit einzelnen Patch-Dateien oder einem Plug-in behoben werden, sondern nur mit einem vollständigen Upgrade.
Wir empfehlen Ihnen, Ihr vBulletin sobald wie möglich zu aktualisieren.
Wenn Sie vBulletin 3.7.x installiert haben, aktualisieren Sie bitte auf vBulletin 3.7.0 RC4.
Wenn Sie vBulletin 3.6.9 oder eine ältere Version installiert haben, aktualisieren Sie bitte auf vBulletin 3.6.10.
Genau wie Sie bedauern wir, dass vBulletin 3.7.0 diese Woche noch nicht veröffentlicht werden kann. Wir hoffen aber, dass Sie Verständnis für unsere Entscheidung haben, eine angekündigte Version aus Sicherheitsgründen lieber zu verschieben, als sie mit einer bekannten Schwachstelle auf den Markt zu bringen.
Wir hoffen, dass das nächste Wochenende ruhiger verläuft, keine weiteren unerwarteten Zwischenfälle eintreten und es dann in der nächsten Woche den lang ersehnten Geburtstag von vBulletin 3.7.0 geben wird.
Was ist ein Release Candidate? Ein Release Candidate unterscheidet sich von einer Beta-Version dahingehend, dass keine bekannten Bugs darin enthalten sind. Jedoch heißt das nicht, dass es keine Bugs gibt. Ein Release Candidate steht für eine Version der Software, von der wir zwar glauben, dass sie bereit für eine Veröffentlichung ist, jedoch noch weiter getestet werden muss, um sicherzugehen.
PHP- und MySQL-Empfehlungen
Wir empfehlen PHP 5.2.5 mit APC oder einem ähnlichen Opcode-Cache, sowie MySQL 5.0.51 für die beste Performance und Stabilität von vBulletin 3.7.
Generelle Hinweise
Dies ist eine Release Candidate-Version.
Es gibt keinen Support!
Wenn Sie nicht mit dem Sichern und Wiederherstellen Ihres Forums, normalen Upgrades und dem Auftreten von Bugs vertraut sind, installieren Sie diese Release Candidate-Version nicht.
- Für Release Candidate-Software gibt es keinen Support. Sie installieren alle Release Candidate-Versionen auf eigenes Risiko.
- Wir wissen, dass diese Version noch Ungereimtheiten enthält. Sie sollten Release Candidate-Software daher nicht in einer Produktivumgebung einsetzen.
- Sie sollten immer ein Backup Ihrer Datenbank und Dateien erstellen, bevor Sie Release Candidate-Software installieren.
- Wenn Sie diese Version installieren möchten, sollten Sie bedenken, dass wir weitere Release Candidate-Versionen in kurzen Abständen veröffentlichen werden, in denen aufgetretene Fehler behoben worden sind. Installieren Sie keine Release Candidate-Software, wenn Sie Folgeversionen nicht zeitnah installieren wollen oder können.
- ImpEx wird in den Release Candidate-Versionen von vBulletin 3.7.0 nicht unterstützt. Bis zur Veröffentlichung von vBulletin 3.7.0 ist keine Unterstützung von ImpEx geplant.
Download Um die Release Candidate-Version herunterzuladen, klicken Sie im Kundenbereich bitte bei den Lizenzoptionen auf vBulletin herunterladen und dann auf Weitere Download-Optionen. Wählen Sie dann vBulletin 3.7.0 Release Candidate (English) aus der Versionsliste aus.
Installation / Upgrade Die Installation und das Upgrade verläuft wie bei früheren vBulletin 3.6 Versionen. Werfen Sie einfach einen Blick in eine ältere Veröffentlichungsankündigung.
Geänderte Dateien Es wurden so gut wie alle Dateien für vBulletin 3.7 geändert.
Add-ons / Plug-ins Obwohl am Plug-in-System selbst nicht viel geändert wurde, könnte es sein, dass einige Einstiegspunkte (Hooks) geändert wurden. Daher sollten Sie Kontakt mit den Entwicklern Ihrer Plug-ins bzw. Add-ons aufnehmen, um zu erfahren, ob diese bereits mit vBulletin 3.7 kompatibel sind. Allen Add-on-/Plug-in-Entwicklern möchten wir versichern, dass Code-Änderungen zwischen den Release Candidate-Versionen und der 3.7.0 'Gold' Version nicht geplant sind. Alle Plug-ins, die jetzt für 3.7 (um-)geschrieben werden, sollten also auch mit der endgültigen Version 3.7.0 noch funktionieren.
Mögliche Javascript-/AJAX-Probleme Für vBulletin 3.7 wurden einige Änderungen in den Javascripten durchgeführt. Wenn jedoch alle Templates wiederhergestellt bzw. entsprechend angepasst wurden, sollte dies kein Problem darstellen. Falls dennoch Javascript-Fehler auftreten sollten, informieren Sie bitte Ihre Benutzer, von Zeit zu Zeit den Browser-Cache zu leeren bzw. die Seiten mit STRG+F5 komplett neu zu laden, um sicherzustellen, immer den aktuellen Javascript-Code zu verwenden.
Bug-Reports Fehler und Probleme können Sie am besten im
Bug-Tracker bei vBulletin.com oder bei uns im Forum melden. Bevor Sie einen Fehler melden, überprüfen Sie bitte, ob er auch in einem unveränderten vBulletin ohne Style- oder sonstigen Änderungen auftritt. Dies gilt insbesondere dann, wenn der Fehler mit Javascripts zu tun haben könnte. Sollten Sie das Plug-in-/Add-on-System nutzen, testen Sie bitte auch, ob der Fehler auftritt, wenn diese Systeme deaktiviert sind!
Die Release Candidate-Versionen werden im Kundenbereich nur als englische Version verfügbar sein.
Diskussion
vBulletin 3.7.0 Release Candidate 4 (Englisch) verfügbar
Zitieren
Lesezeichen