vBulletin 4.0.2 Patch Level 2 und 3.7.7 verfügbar

vBulletin 4.0.2 Patch Level 2 und 3.7.7 beheben eine mögliche Schwachstelle in Bezug auf die Stärke der Passwortverschlüsselung in vBulletin.

In seltenen Fällen kann es vorkommen, dass Hacker über Drittanbieterprodukte (z.B. unsichere Plug-ins) Zugriff auf die Passwörter der Administratoren und Benutzer erlangen können und dann versuchen, diese Passwörter zu entschlüsseln.

In untersuchten Fällen richteten die Hacker, wenn sie Zugriff auf die Passwörter hatten, ihr Hauptaugenmerk auf die Administratorenkonten. Da viele Administratoren in diversen vBulletin-Foren registriert sind, wurde explizit nach den Benutzernamen der Administratoren gesucht und versucht, sich damit anzumelden. Nach erfolgreicher Anmeldung wurde versucht, auf die Benutzertabelle in der Datenbank zuzugreifen, um weitere Zugangsdaten in anderen Foren ausprobieren zu können und für Störungen zu sorgen.

Der Patch ändert die Art und Weise, wie der Hashwert eines Passwortes generiert wird, um einige Methoden zu verhindern, wie das Passwort aus dem Hashwert bestimmt werden kann.

Neue Hashwerte werden nur dann generiert, wenn das Passwort geändert wird! Aus diesem Grund empfehlen wir eindringlich, dass alle Passwörter von Administratoren sofort nach dem Einspielen des Patches geändert werden. Auch normale Benutzer sollten umgehend ihr Passwort ändern.


Um sich vor dieser Schwachstelle zu schützen, müssen Sie folgendes tun:

  • Wenn Sie vBulletin 3.7.x einsetzen, aktualisieren Sie auf vBulletin 3.7.7.
  • Wenn Sie vBulletin 3.8.x einsetzen, aktualisieren Sie auf vBulletin 3.8.5.
  • Wenn Sie vBulletin 4.0 oder 4.0.1 einsetzen, aktualisieren Sie auf vBulletin 4.0.2 Patch Level 2.


Wenn Sie vBulletin 4.0.2 oder 4.0.2 Patch Level 1 einsetzen, gehen Sie wie folgt vor:
  1. Laden Sie den Patch herunter.
  2. Deaktivieren Sie Ihr Forum in den vBulletin-Einstellungen ("vBulletin ein- und ausschalten").
  3. Laden Sie die Patch-Dateien in Ihr vBulletin Verzeichnis hoch.
  4. Rufen Sie das Skript http://ihre.domain.de/vB-Verzeichnis/install/upgrade_402_salt.php auf.
  5. Aktivieren Sie Ihr Forum wieder.


Hinweis: Wenn ein Benutzer sein Passwort ändert, nachdem die Patch-Dateien hochgeladen wurden, aber bevor das Skript upgrade_402_salt.php ausgeführt wurde, wird er sich nach dem Ausführen des Skriptes nicht mehr anmelden können. Aus diesem Grund sollten Sie Ihr Forum für den Zeitraum des Patchvorgangs deaktivieren.

Der Patch kann natürlich nicht alle Methoden verhindern, wie Dritte an Passwörter gelangen könnten. Schwache oder leicht zu erratende Passwörter stellen weiterhin eine Schwachstelle dar.
Siehe Brute-Force-Methode.


Bei der Passwortwahl sollten einige Punkte beachtet werden:

  • Mindestens 6 Zeichen, mehr sind besser
  • Bestehend aus Großbuchstaben, Kleinbuchstaben, Zahlen und Zeichen
  • Keine Wörter nutzen, die in Wörterbüchern gefunden werden können


Passwort-Artikel bei Wikipedia

Administratoren, die ihren Benutzernamen auf mehreren Seiten benutzen, sollten generell für jede Seite ein einzigartiges Passwort nutzen. Ansonsten sind alle Benutzerkonten potentiell gefährdet, wenn nur eine der Seiten eine Sicherheitslücke enthält.


vBulletin 4.0.2 Patch Level 2 behebt auch die am 22.03.2010 bekannt gewordene XSS-Sicherheitslücke, die nicht in vBulletin 3 existiert.