vBulletin 3.6.x Updates - aktuell: 3.6.12 PL2

[rellek]

vBulletin 3.6.10 wurde veröffentlicht. Diese Version behebt eine Sicherheitslücke, mit der es möglich ist, von manipulierten Formularen aus Sachen zu posten. Daher sollte jeder auf diese Version aktualisieren!
Des Weiteren wurden Probleme behoben, die erst mit vB 3.7 entdeckt wurden, aber auch auf vB 3.6 zutreffen.

Weitere Informationen findet ihr hier:
[EN] http://www.vbulletin.com/forum/showthread.php?t=268123

 

[Mr.GerardCruiz]

Das Update hatte zusammen mit der finalen 3.7 einen großen Vorteil, gerade bei den alten Addons wird nun die Spreu vom Weizen getrennt. Denn viele Addons funktionieren nun nicht mehr reibungslos und nun lässt sich endlich feststellen ob ein Addon wirklich noch supportet wird oder nicht. Tut der Community wohl ganz gut, da sich bei vB.org mitlerweise weit über 1000 Addons angesammelt haben, die sicherlich nicht alle das Gelbe vom Ei sind.

 

[rellek]

Das betrifft aber nur Addons, die was abschicken. Top5-Hacks beispielsweise nicht...

Wobei sowas für Autoren von Hacks, vor allem, wenn der Autor viele Hacks hat, ganz sicher keine schöne Situation ist...

 

[rellek]

Aufgrund einer bekannt gewordenen Sicherheitslücke, wurde eine 3.6.10 PL1 veröffentlicht, die JEDER Administrator von vB 3.6 installieren sollte!

http://www.vbulletin-germany.com/forum/showthread.php?t=36989

 

[rellek]

PL2 ist erschienen, schließt wieder eine XSS-Lücke und sollte daher umgehend installiert werden:
http://www.vbulletin-germany.com/forum/showthread.php?p=224818#post224818

 

[rellek]

Eine weitere Sicherheitslücke wurde gefunden. Sie lässt sich aber nur ausnutzen, wenn der Debug-Modus aktiv ist.
Ein Update ist dennoch anzuraten.

http://www.vbulletin-germany.com/forum/showthread.php?p=226700#post226700

 

[rellek]

Eine XSS-Sicherheitslücke wurde gefunden, die es ermöglicht, unter bestimmten Umständen das Konto eines Mitglieds ungewollt zu übernehmen.
Daher wurden für 3.7 und 3.6 Patch-Levels erstellt, die das Problem beheben und so schnell wie möglich eingespielt werden sollten!


Weitere Informationen findet ihr hier:
[EN] http://www.vbulletin.com/forum/showthread.php?p=1611150#post1611150
[DE] http://www.vbulletin-germany.com/forum/showthread.php?p=230365#post230365

 

[rellek]

Seit gerade eben steht vBulletin 3.6.11 zum Download bereit.

Es enthält eine Reihe von Bugfixes sowie eine Funktion, die verhindert, dass Benutzer ihren User-Namen als Passwort verwenden können.
Die letzte Woche erschienenen Sicherheitsfixes sind natürlich auch enthalten.

Die deutsche Ankündigung sowie ein deutscher Download stehen im Moment noch aus.

Weitere Informationen findet ihr hier:
[EN] http://www.vbulletin.com/forum/showthread.php?t=282976

 

[rellek]

Deutsche Version ist nun auch da.
http://www.vbulletin-germany.com/forum/showthread.php?t=38205

 

[rellek]

Eine Sicherheitslücke wurde gefunden, die auf eine Schwäche im Zufallsgenerator hindeutet. Es ist theoretisch mit diesem Wissen möglich, ein Benutzeraccount zu hacken.

Die PL1-Version, die jeder Anwender jetzt einsetzen sollte, behebt diesen Umstand. Im Mitgliederbereich ist der Fix für jeden Kunden zu finden.

Weitere Infos findet ihr hier:
http://www.vbulletin.com/forum/showthread.php?p=1619550#post1619550

 

[rellek]

Als letzte geplante Version vor der End-of-Life-Frist ist neulich die Version 3.6.12 erschienen, die einige Bugfixes aus der 3.7er Serie enthält und im Wesentlichen einmal mehr die Stabilität der Software verbessert.

Weitere Infos gibt es bei vBulletin-Germany:
--> http://www.vbulletin-germany.com/forum/showthread.php?t=39216

 

[rellek]

Eine Sicherheitslücke wurde in Version 3.6.12 gefunden. Es handelt sich um eine XSS-Lücke, mit der es möglich ist, unter einem anderen Namen Blödsinn anzustellen.

Um das Update auszuführen, müssen nur die Dateien aus dem Patch-System überschrieben werden. Es muss kein Update-Script ausgeführt werden.

Wie immer befindet sich das Update-Paket im Mitgliederbereich. Jeder Betreiber sollte umgehend updaten!

Die Ankündigung findet ihr hier:
http://www.vbulletin-germany.com/forum/showthread.php?p=250543#post250543

 

[rellek]

Im Benutzerprofil wurde eine XSS-Sicherheitslücke gefunden, die sich dazu ausnutzen lassen könnte, einen anderen Account zu kapern. Beim englischen vBulletin gibt es dafür bereits eine Lösung (in Form von 3 aktualisierten Dateien), im deutschen gibt es den Download bereits im Mitgliederbereich ("Sicherheits-Patches"), die Ankündigung steht aber noch aus.

ALLE Benutzer der betroffenen Versionen sind dazu angehalten das Update so schnell wie möglich zu installieren.

EN-Ankündigung:
http://www.vbulletin.com/forum/showthread.php?t=319572

Der Fix bei vB-G:
http://members.vbulletin-germany.com/patches.php