vBulletin 4.0.2 Patch Level 4 behebt XSS-Sicherheitslücken, die in vBulletin 4.0.2 entdeckt wurden. Die Lücken betreffen die CMS-Widgets "Neue Beiträge", "Neue Themen" und "Suchfunktion", sowie die Artikel-Vorschau im CMS.

Wir haben eine XSS-Sicherheitslücke in Bezug auf die Titel von Blog-Einträgen entdeckt, die in einem Widget, das die neuesten Blog-Einträge anzeigt, fehlerhaft dargestellt wurden. Beim Testen der korrigierten Version fielen uns noch verwandte Sicherheitslücken auf. All diese Sicherheitslücken behebt dieser Patch.

Hinweis: Die Patch Level 1-3 sind ebenfalls in Patch Level 4 enthalten.


Um sich vor diesen Sicherheitslücken zu schützen, müssen Sie folgendes tun:

Wenn Sie vBulletin 4.0 oder 4.0.1 einsetzen, aktualisieren Sie auf vBulletin 4.0.2 Patch Level 4.


Wenn Sie vBulletin 4.0.2 oder 4.0.2 Patch Level 1 einsetzen, gehen Sie wie folgt vor:
  1. Laden Sie den Patch herunter.
  2. Deaktivieren Sie Ihr Forum in den vBulletin-Einstellungen ("vBulletin ein- und ausschalten").
  3. Laden Sie die Patch-Dateien in Ihr vBulletin Verzeichnis hoch.
  4. Rufen Sie das Skript http://ihre.domain.de/vB-Verzeichnis/install/upgrade_402_salt.php auf.
  5. Aktivieren Sie Ihr Forum wieder.

Hinweis: Wenn ein Benutzer sein Passwort ändert, nachdem die Patch-Dateien hochgeladen wurden, aber bevor das Skript upgrade_402_salt.php ausgeführt wurde, wird er sich nach dem Ausführen des Skriptes nicht mehr anmelden können. Aus diesem Grund sollten Sie Ihr Forum für den Zeitraum des Patchvorgangs deaktivieren.

Der Patch kann natürlich nicht alle Methoden verhindern, wie Dritte an Passwörter gelangen könnten. Schwache oder leicht zu erratende Passwörter stellen weiterhin eine Schwachstelle dar.
Siehe Brute-Force-Methode.


Bei der Passwortwahl sollten einige Punkte beachtet werden:

  • Mindestens 6 Zeichen, mehr sind besser
  • Bestehend aus Großbuchstaben, Kleinbuchstaben, Zahlen und Zeichen
  • Keine Wörter nutzen, die in Wörterbüchern gefunden werden können


Passwort-Artikel bei Wikipedia

Administratoren, die ihren Benutzernamen auf mehreren Seiten benutzen, sollten generell für jede Seite ein einzigartiges Passwort nutzen. Ansonsten sind alle Benutzerkonten potentiell gefährdet, wenn nur eine der Seiten eine Sicherheitslücke enthält.


Wenn Sie vBulletin 4.0.2 Patch Level 2 oder 4.0.2 Patch Level 3 einsetzen, gehen Sie wie folgt vor:
  1. Laden Sie den Patch herunter.
  2. Deaktivieren Sie Ihr Forum in den vBulletin-Einstellungen ("vBulletin ein- und ausschalten").
  3. Laden Sie die Patch-Dateien mit Ausnahme des install Verzeichnisses in Ihr vBulletin Verzeichnis hoch.
  4. Aktivieren Sie Ihr Forum wieder.


vBulletin 4.0.2 Patch Level 4 behebt auch die am 22.03.2010 bekannt gewordene XSS-Sicherheitslücke.