vBulletin 3.7.2 Patch Level 1 / vBulletin 3.6.10 Patch Level 3
Es wurden zwei weitere XSS-Sicherheitslücken gefunden, die das Logsystem des Administrator-Kontrollzentrum und Foren im Debug-Modus betreffen. Sie können dazu ausgenutzt werden, Administratoren Aktionen im Administrator-, Moderator-Kontrollzentrum ausführen zu lassen, die nicht in deren Absicht sind. Um die Sicherheitslücke zu schließen, erscheinen heute Patch Level Versionen von vBulletin 3.7.2 und 3.6.10.
Diese und die vorherigen Sicherheitslücken wurde von Jessica Hope und anderen entdeckt.
Wie bei allen sicherheitsrelevanten Veröffentlichungen empfehlen wir allen Kunden, sobald wie möglich ein Upgrade durchzuführen, um mögliche Schäden durch das Ausnutzen von Sicherheitslücken zu vermeiden.
So aktualisieren Sie Ihr vBulletin von 3.7.2/ 3.6.10 (PL1,PL2) auf 3.7.2 PL1 / 3.6.10 PL3Wenn Sie bereits vBulletin 3.7.2 oder 3.6.10 oder die jeweilige PL1,PL2-Version einsetzen, ist es sehr einfach, diese XSS-Sicherheitslücke zu schließen.
Sie müssen kein Upgradeskript starten, wenn Sie bereits vBulletin 3.7.2 oder 3.6.10 (PL1,PL2) einsetzen!
Sie müssen nur die Dateien aus dem Patchpaket auf Ihren Server hochladen.
Laden Sie die Patch-Datei für vBulletin 3.7.2 oder 3.6.10 von der
Patchseite im Kundenbereich herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver hoch. Überschreiben Sie dabei alle bestehenden Dateien. Dadurch wird Ihre vBulletin-Installation auf Patch Level 1 (PL1) bzw. Patch Level 3 (PL3) bei 3.6.10 aktualisiert.
Wurden alle Dateien korrekt überschrieben, sehen Sie im Administrator-Kontrollzentrum die aktuelle Version
3.7.2 Patch Level 1 bzw.
3.6.10 Patch Level 3.
Im Forum selbst wird weiterhin die Version 3.7.2 / 3.6.10 angezeigt ohne den Zusatz Patch Level x.
Das Patchpaket für 3.6.10 enthält ebenfalls die Patches der PL1 und PL2 Versionen.
So aktualisieren Sie ältere Versionen als 3.7.2 / 3.6.10 auf 3.7.2 PL1 / 3.6.10 PL3Wenn Sie eine vBulletin Version einsetzen, die älter ist als 3.7.2 / 3.6.10, laden Sie sich bitte das komplette vBulletin-Paket 3.7.2 PL1 / 3.6.10 PL3 aus dem
Kundenbereich herunter und folgen Sie beim Aktualisieren bitte den
Hinweisen in diesem Beitrag.
Was bedeutet Patch Level und was ist der Unterschied zu einer normalen Veröffentlichung?Um schneller auf neu entdeckte Sicherheitslücken reagieren zu können, wurde das sogenannte Patch Level-System (PL) eingeführt. Patch Level-Versionen von vBulletin beheben ausschließlich Sicherheitsprobleme.
Somit kann z.B. die vBulletin Version 3.7.x in 3.7.x Patch Level 1 geändert werden, so dass Sie als Administrator wissen, dass Sie die aktuellsten Dateien einsetzen und nicht mehr für bekannte Sicherheitsprobleme anfällig sind.
Um dieses System so einfach wie möglich zu halten, müssen Sie bei einem Patch auf eine Patch Level-Version kein Upgradeskript ausführen. Die Patch-Pakete enthalten nur die fehlerbereinigten Dateien und die Versionsdatei version_vbulletin.php. So können Sie nach dem Patchen sehen, dass Ihr vBulletin dem richtigen Patch Level entspricht.
PHP- und MySQL-AnforderungenBitte nehmen Sie zur Kenntnis, dass vBulletin 3.7.x mindestens PHP 4.3.3 und MySQL 4.0.16 voraussetzt.
Für die beste Performance und Stabilität von vBulletin 3.7.x empfehlen wir den Einsatz von PHP 5.2.6 mit APC oder einem ähnlichen Opcode-Cache und MySQL 5.0.51.
PHP 4 wird nicht mehr weiterentwickeltDie PHP Group hatte vor einiger Zeit
angekündigt, dass die Unterstützung und Weiterentwicklung von PHP4 eingestellt wird. Wir empfehlen daher, dass Sie in naher Zukunft ein Upgrade von PHP und MySQL auf die aktuellen Versionen (PHP 5.2.6, MySQL 5.0.51) einplanen. vBulletin 3.7.x unterstützt beide Versionen problemlos. Sollte MySQL 5 im
Strict Mode betrieben werden, zu dem vBulletin nicht kompatibel ist, muss dieser durch die Änderung der Einstellung
$config['Database']['force_sql_mode'] in der config.php deaktiviert werden.
Hinweis: vBulletin 3.x wird weiterhin PHP 4 unterstützen.
vBulletin 3.7.2 PL1 / 3.6.10 PL3 herunterladen
vBulletin 3.7.2 PL1 und 3.6.10 PL3 verfügbar
Zitieren
Lesezeichen