Sebijk
23.04.2008, 21:38
Quelle: http://www.vbulletin-germany.com/forum/showthread.php?t=35762
vBulletin 3.7.0 Release Candidate 4 (Englisch)
Die schlechte Nachricht zuerst: Die Veröffentlichung von vBulletin 3.7.0 ist auf die nächste Woche verschoben. http://www.vbulletin-germany.com/forum/images/smilies/frown.gif
Am Wochenende wurden wir über eine Sicherheitslücke informiert, die mittels CSRF (Cross-Site Request Forgery) (http://de.wikipedia.org/wiki/CSRF) ausgenutzt werden kann, um einen Administrator/Moderator, der auf eine fremde Seite gelockt wurde, dort unwissenderweise Formulare abschicken zu lassen, die möglicherweise zu einem Datenverlust im Forum des Administrators/Moderators führen können. Aktionen, die über das Administrator-Kontrollzentrum ausgeführt werden, sind von dieser Sicherheitslücke nicht betroffen.
Diese Art der Sicherheitslücke bezieht sich übrigens nicht nur auf vBulletin. Es waren und sind vermutlich noch viele weitere Webanwendungen betroffen, die für CSRF (Cross-Site Request Forgery) (http://de.wikipedia.org/wiki/CSRF)-Angriffe anfällig sind.
Wir haben uns nun entgegen unserer Planung für die Veröffentlichung eines weiteren Release Candidates entschieden, da die Vielzahl der nötigen Änderungen für die Behebung der Sicherheitslücke es nicht zuließ, vBulletin 3.7.0 zu veröffentlichen und als stabil zu bezeichnen, ohne wenigstens vorher noch eine Testversion in Umlauf zu bringen.
Die Behebung dieser Sicherheitslücke erfordert Änderungen in sehr vielen Dateien und Templates aller unserer Produkte (vBulletin 3.x, vBulletin-Blog und vBulletin Projektverwaltung).
Zusammen mit vBulletin 3.7.0 Release Candidate 4 ist vBulletin 3.6.10 verfügbar, das zusätzlich zu der Sicherheitslücke auch noch Fehler behebt, die ursprünglich für vBulletin 3.7.0 behoben worden sind.
Neue Versionen von vBulletin-Blog und vBulletin Projektverwaltung werden in den nächsten Tagen folgen.
Unglücklicherweise kann die Sicherheitslücke, aufgrund der hohen Anzahl an geänderten Templates und Dateien, nicht mit einzelnen Patch-Dateien oder einem Plug-in behoben werden, sondern nur mit einem vollständigen Upgrade.
Wir empfehlen Ihnen, Ihr vBulletin sobald wie möglich zu aktualisieren.
Wenn Sie vBulletin 3.7.x installiert haben, aktualisieren Sie bitte auf vBulletin 3.7.0 RC4.
Wenn Sie vBulletin 3.6.9 oder eine ältere Version installiert haben, aktualisieren Sie bitte auf vBulletin 3.6.10.
Genau wie Sie bedauern wir, dass vBulletin 3.7.0 diese Woche noch nicht veröffentlicht werden kann. Wir hoffen aber, dass Sie Verständnis für unsere Entscheidung haben, eine angekündigte Version aus Sicherheitsgründen lieber zu verschieben, als sie mit einer bekannten Schwachstelle auf den Markt zu bringen.
Wir hoffen, dass das nächste Wochenende ruhiger verläuft, keine weiteren unerwarteten Zwischenfälle eintreten und es dann in der nächsten Woche den lang ersehnten Geburtstag von vBulletin 3.7.0 geben wird.
Dazu noch:
Die Änderungen in 3.6.10 und 3.7.0 RC4 verhindern, das Formulare im Code von Modifikationen, Plug-ins und Addons weiterhin funktionieren.
Es ist jedoch einfach, den Code entsprechend anzupassen und das neue Securitytoken hinzuzufügen, so dass alles wie gewohnt funktioniert.
Genauere Informationen werden in Kürze bei www.vbulletin-germany.org (http://www.vbulletin-germany.org/) und www.vbulletin.org (http://www.vbulletin.org/) verfügbar sein.
Das heißt, dass Home of the Sebijk.com Einschränkungen bei der Funktionalität hinnehmen muss, da viele der Anpassungen nicht mit einer Änderung funktionieren wird.
Da auch unser Bugtracker und Blog und einige weitere davon betroffen sind, haben wir viele Add-ons deaktiviert. Es sollte aber bald eine aktualisierte Version davon geben. Wir bitten deshalb um Geduld und hoffen, dass wir die Änderungen für die vom Autor nicht gepflegten Add-ons hinzufügen werden.
Wir bitten deshalb, dass jedes Forummitglied uns über mögliche Fehlern berichten, damit wir es so schnell wie möglich beheben können. Benutzt dazu, bis der Bugtracker wieder online ist, die passenden Foren zu den Fehlerberichten.
vBulletin 3.7.0 Release Candidate 4 (Englisch)
Die schlechte Nachricht zuerst: Die Veröffentlichung von vBulletin 3.7.0 ist auf die nächste Woche verschoben. http://www.vbulletin-germany.com/forum/images/smilies/frown.gif
Am Wochenende wurden wir über eine Sicherheitslücke informiert, die mittels CSRF (Cross-Site Request Forgery) (http://de.wikipedia.org/wiki/CSRF) ausgenutzt werden kann, um einen Administrator/Moderator, der auf eine fremde Seite gelockt wurde, dort unwissenderweise Formulare abschicken zu lassen, die möglicherweise zu einem Datenverlust im Forum des Administrators/Moderators führen können. Aktionen, die über das Administrator-Kontrollzentrum ausgeführt werden, sind von dieser Sicherheitslücke nicht betroffen.
Diese Art der Sicherheitslücke bezieht sich übrigens nicht nur auf vBulletin. Es waren und sind vermutlich noch viele weitere Webanwendungen betroffen, die für CSRF (Cross-Site Request Forgery) (http://de.wikipedia.org/wiki/CSRF)-Angriffe anfällig sind.
Wir haben uns nun entgegen unserer Planung für die Veröffentlichung eines weiteren Release Candidates entschieden, da die Vielzahl der nötigen Änderungen für die Behebung der Sicherheitslücke es nicht zuließ, vBulletin 3.7.0 zu veröffentlichen und als stabil zu bezeichnen, ohne wenigstens vorher noch eine Testversion in Umlauf zu bringen.
Die Behebung dieser Sicherheitslücke erfordert Änderungen in sehr vielen Dateien und Templates aller unserer Produkte (vBulletin 3.x, vBulletin-Blog und vBulletin Projektverwaltung).
Zusammen mit vBulletin 3.7.0 Release Candidate 4 ist vBulletin 3.6.10 verfügbar, das zusätzlich zu der Sicherheitslücke auch noch Fehler behebt, die ursprünglich für vBulletin 3.7.0 behoben worden sind.
Neue Versionen von vBulletin-Blog und vBulletin Projektverwaltung werden in den nächsten Tagen folgen.
Unglücklicherweise kann die Sicherheitslücke, aufgrund der hohen Anzahl an geänderten Templates und Dateien, nicht mit einzelnen Patch-Dateien oder einem Plug-in behoben werden, sondern nur mit einem vollständigen Upgrade.
Wir empfehlen Ihnen, Ihr vBulletin sobald wie möglich zu aktualisieren.
Wenn Sie vBulletin 3.7.x installiert haben, aktualisieren Sie bitte auf vBulletin 3.7.0 RC4.
Wenn Sie vBulletin 3.6.9 oder eine ältere Version installiert haben, aktualisieren Sie bitte auf vBulletin 3.6.10.
Genau wie Sie bedauern wir, dass vBulletin 3.7.0 diese Woche noch nicht veröffentlicht werden kann. Wir hoffen aber, dass Sie Verständnis für unsere Entscheidung haben, eine angekündigte Version aus Sicherheitsgründen lieber zu verschieben, als sie mit einer bekannten Schwachstelle auf den Markt zu bringen.
Wir hoffen, dass das nächste Wochenende ruhiger verläuft, keine weiteren unerwarteten Zwischenfälle eintreten und es dann in der nächsten Woche den lang ersehnten Geburtstag von vBulletin 3.7.0 geben wird.
Dazu noch:
Die Änderungen in 3.6.10 und 3.7.0 RC4 verhindern, das Formulare im Code von Modifikationen, Plug-ins und Addons weiterhin funktionieren.
Es ist jedoch einfach, den Code entsprechend anzupassen und das neue Securitytoken hinzuzufügen, so dass alles wie gewohnt funktioniert.
Genauere Informationen werden in Kürze bei www.vbulletin-germany.org (http://www.vbulletin-germany.org/) und www.vbulletin.org (http://www.vbulletin.org/) verfügbar sein.
Das heißt, dass Home of the Sebijk.com Einschränkungen bei der Funktionalität hinnehmen muss, da viele der Anpassungen nicht mit einer Änderung funktionieren wird.
Da auch unser Bugtracker und Blog und einige weitere davon betroffen sind, haben wir viele Add-ons deaktiviert. Es sollte aber bald eine aktualisierte Version davon geben. Wir bitten deshalb um Geduld und hoffen, dass wir die Änderungen für die vom Autor nicht gepflegten Add-ons hinzufügen werden.
Wir bitten deshalb, dass jedes Forummitglied uns über mögliche Fehlern berichten, damit wir es so schnell wie möglich beheben können. Benutzt dazu, bis der Bugtracker wieder online ist, die passenden Foren zu den Fehlerberichten.