Sicherheitshinweis - 18. August 2008
ADDUCO SICHERHEITSHINWEIS
http://www.vbulletin-germany.com/
18. August 2008

Dies sind die Themen dieses E-Bulletins:

* vBulletin 3.7.2 PL2 und 3.6.10 PL4 veröffentlicht
* vBulletin 3.7.3 und 3.6.11 erscheinen am 26.08.2008
* PHP und MySQL Empfehlungen

--- VBULLETIN 3.7.2 PL2 UND 3.6.10 PL4 VERÖFFENTLICHT ----

Es wurde eine XSS-Sicherheitslücke geschlossen, die im
Zusammenhang mit dem Escapen von Javascript-Code steht.
Durch diese Sicherheitslücke ist es möglich, dass ein
Angreifer Aktionen im Kontext eines anderen Benutzers
ausführen oder Zugriff auf ein anderes Benutzerkonto
erlangen kann. Um die Sicherheitslücke zu schließen,
erscheinen heute Patch Level Versionen von
vBulletin 3.7.2 und 3.6.10.

Diese Sicherheitslücke wurde von Federico Muttis entdeckt.

Wie bei allen sicherheitsrelevanten Veröffentlichungen
empfehlen wir allen Kunden, sobald wie möglich ein Upgrade
durchzuführen, um mögliche Schäden durch das Ausnutzen von
Sicherheitslücken zu vermeiden.

Wenn Sie bereits vBulletin 3.7.2 oder 3.6.10 einsetzen,
können Sie die Sicherheitslücken schließen, indem Sie sich
den Patch von der Patchseite im Kundenbereich herunterladen,
die enthaltenen Verzeichnisse und Dateien auf Ihren Server
hochladen und die existierenden Verzeichnisse und Dateien
dabei überschreiben.
http://members.vbulletin-germany.com/patches.php

Release-Informationen für 3.7.2 PL2 und 3.6.10 PL4
finden Sie hier:
http://www.vbulletin-germany.com/go/372pl2


-- VBULLETIN 3.7.3 UND 3.6.11 ERSCHEINEN AM 26.08.2008 ---

Zurückführend auf unsere neue Strategie, regelmäßige
Wartungsversionen zu veröffentlichen, erscheinen neue
Versionen von vBulletin 3.6 und 3.7 am Dienstag,
26. August 2008.

Neu in 3.7.3 und 3.6.11 ist die Einschränkung, dass
Benutzername und Kennwort nicht mehr identisch sein können.
Benutzer, deren Kennwort identisch mit ihrem Benutzernamen
ist, werden beim nächsten Besuch des Forums aufgefordert,
ein neues Kennwort anzugeben. Zusätzlich wird es eine
Möglichkeit geben, betroffenen Benutzern ein neues Kennwort
per E-Mail zuzuschicken. Des Weiteren wurden in 3.7.3 und
3.6.11 diverse Fehler behoben.

Bitte beachten Sie am 26.08.2008 die Versionshinweise in
Ihrem Administrator-Kontrollzentrum oder informieren Sie
sich in unserem Forum über die Verfügbarkeit von vBulletin
3.7.3 und 3.6.11, da keine weitere Informations-E-Mail
verschickt wird.


--------------- PHP UND MYSQL EMPFEHLUNGEN ---------------

Um vBulletin 3.7.x bzw. 3.6.x auf Ihrem Server betreiben zu
können, benötigen Sie mindestens PHP 4.3.3 und MySQL 4.0.16.

Für die beste Performance und Stabilität empfehlen wir den
Einsatz von PHP 5.2.6 mit APC oder einem ähnlichen Opcode-Cache
und MySQL 5.0.51.