vBulletin 4.1.4 Patch Level 1 und 3.8.7 Patch Level 2 verfügbar

Möglicher Phishing-Angriff


Wir wurden kürzlich über einen indirekten, risikoarmen Phishing-Versuch in Kenntnis gesetzt, bei dem bösartige Benutzer versuchen, die URL(s) von vBulletin auf eine offensichtliche Art und Weise zu verändern, um Benutzer auf eine andere, externe Seite zu locken, um sich dort mit ihren vBulletin-Daten anmelden zu müssen.

Dieser Phishing-Versuch betrifft alle Versionen von vBulletin 3 und 4, und wurde mit einer niedrigen Gefahrenstufe bewertet.

Allgemeines Beispiel für diese Art des Phishing-Versuchs:
Ein Angreifer erstellt ein neues Thema und fordert mittels eines angegebenen Links zur Passwortzurücksetzung auf.
Der Angreifer verändert den Link, um auf eine externe Webseite zu verweisen, nachdem die Anmeldedaten auf der ursprünglichen vBulletin-Seite eingetragen wurden.
Zum Beispiel: http://www.vbulletin-germany.com/forum/login.php?do=lostpw&url=http://www.google.com
Anstelle von Google.com würde der Angreifer eine eigene Webseite verwenden, die den Benutzer auffordert, seine persönlichen Anmeldedaten preis zu geben.

Um diese Sicherheitslücke zu schließen, haben wir nun Patch Level Versionen für vBulletin 4.1.4 und 3.8.7 veröffentlicht.

Wie bei allen sicherheitsrelevanten Veröffentlichungen empfehlen wir allen Kunden, die vBulletin 4.1.4 oder 3.8.7 einsetzen, sobald wie möglich den Patch einzuspielen, um mögliche Schäden durch das Ausnutzen von Sicherheitslücken zu vermeiden.



So aktualisieren Sie Ihr vBulletin Forum/Suite mit dem Patch


0.) Befindet sich das install Verzeichnis nicht mehr auf Ihrem Server, weil Sie es nach der Installation oder dem letzten Upgrade gelöscht haben, laden Sie es komplett aus dem vBulletin-Paket neu auf Ihren Server hoch.
Sollten Sie das vBulletin-Paket nicht mehr auf Ihrem Rechner haben, laden Sie vBulletin 3.8.7 PL2 oder vBulletin 4.1.4 PL1 einfach neu aus dem Kundenbereich herunter, um dann nur das install Verzeichnis hochzuladen.

1.) Laden Sie die Patch-Datei für Ihre vBulletin Forum/Suite Version von der Patchseite im Kundenbereich herunter, entpacken Sie sie und laden Sie die Dateien auf Ihren Webserver hoch. Überschreiben Sie dabei alle bestehenden Dateien.

2.) Rufen Sie das Upgradeskript auf: http://www.ihre-domain.de/vbulletin/install/upgrade.php

3.) Wenn Sie die Du-Version des Sprachpakets installiert haben, müssen Sie noch die aktualisierte Sprachdatei (install/vbulletin-language-de-du.xml bei 3.8.7 bzw. vbulletin-language-de-du-custom.xml bei 4.1.4) importieren und die aktuelle Du-Sprache überschreiben oder eine neue Du-Sprache erstellen. Von Ihnen durchgeführte Änderungen an Phrasen in der Du-Sprache gehen beim Überschreiben verloren. Sichern Sie Ihre Du-Sprache am besten vor dem Import.

Wurden alle Dateien korrekt überschrieben, sehen Sie im Administrator-Kontrollzentrum die aktuelle Version 3.8.7/4.1.4 Patch Level x. Im Forum selbst wird weiterhin die Version 3.8.7/4.1.4 angezeigt ohne den Zusatz Patch Level x.



Was bedeutet Patch Level und was ist der Unterschied zu einer normalen Veröffentlichung?


Um schneller auf neu entdeckte Sicherheitslücken oder andere Probleme reagieren zu können, wurde das sogenannte Patch Level-System (PL) eingeführt.

Um dieses System so einfach wie möglich zu halten, müssen Sie bei einem Patch auf eine Patch Level-Version normalerweise kein Upgradeskript ausführen. Die Patch-Pakete enthalten nur die fehlerbereinigten Dateien und die Versionsdatei version_vbulletin.php. So können Sie nach dem Patchen sehen, dass Ihr vBulletin dem richtigen Patch Level entspricht.



Patch für vBulletin 4.1.4 Forum/Suite und 3.8.7 herunterladen


Laden Sie die Patch-Datei für Ihre Version von der Patchseite im Kundenbereich herunter.



vBulletin 4.1.4 Forum/Suite Patch Level 1 und 3.8.7 Patch Level 2 herunterladen


vBulletin Forum/Suite wartet im Kundenbereich bei vBulletin-Germany auf Sie.