SICHERHEITSHINWEIS - vBSEO 3.5.2 veröffentlicht

Eine Sicherheitslücke wurde im Code von vBSEO entdeckt, der die Veröffentlichung von vBSEO 3.5.2 nötig gemacht hat. Alle Kunden sollten umgehend updaten/patchen. Ältere Versionen (die 3.3.x Serie) wurden ebenso upgedatet, um einen Patch für Kunden zur Verfügung zu stellen, welche nicht auf eine neuere Version updaten wollen oder deren Lizenz abgelaufen ist. Die Release Candidates sind nicht mehr länger verfügbar und sollten auf eine stabile Version upgedatet werden. Versionen, die älter als vBSEO 3.3.0 sind, haben ihr "End of Life" erreicht und werden nocht mehr länger supportet, sondern bleiben von dem Exploit betroffen. Falls Sie eine veraltete Version betreiben, sollten Sie so bald wie möglich auf eine supportete Version updaten, in welcher diese Lücke behoben wurde.

3.5.2 enthält ebenso mehrere neue Funktionen und einige Bug Fixes seit der Veröffentlichung von 3.5.1 PL1, welche die Tests unserer Qualitätssicherung bestanden hat. Zudem bietet diese Version einige Verbesserungen des Produkts.

• NEU Ersetze Seitentitel der Stichwörter
• NEU Genaues, im vBSEO CP geladenes "div" (berücksichtigt #anker in CP Links)
• NEU Verbesserungen im vBSEO CP Sprachen-System
• NEU Automatisches Einfügen relevanter Ersetzungen ( nur für vB4, keine Templateänderungen mehr nötig )
• NEU Wiedereröffnung des vBSEO.com CRR Generators ( http://www.vbseo.com/info/crr-maker-ajax.html )
• NEU Twitter wurde als Social Bookmark hinzugefügt
• FIX Showthread & Forumdisplay "Gehe zu Seite" Fehler
• FIX "Alben Rewrite deaktiviert" Funktion
• FIX Linkback freigeben / nicht freigeben Icon Anzeige
• FIX Wer ist Online: URLs der Orte werden nocht überschrieben
• FIX CMS Bereich URL Cache
• FIX Doppelte URLs mit "nocache" Parameter
• FIX Lighttpd Rewrite Regeln wurden upgedatet
• FIX SEO URL-Alias Fehler bei Klammern
• FIX CMS Anhänge nicht richtig dargestellt
• FIX Benutzer-URLs mit PHP 5.3.3 fehlerhaft
• FIX Ungecachte vBSEO Blog Templates
• FIX Forum Cache Fehler
• FIX CMS Kategorie URL Anzeige
• FIX Blog Stichwort Rewrite
• FIX Anhänge werden langsam geladen
• FIX vBSEO Copyright Anzeige Option gibt falsche Option aus
• FIX config.xml wurde neu strukturiert, um mehrere logische Einstellungsgruppen zu erlauben
• FIX Furl wurde aus den Social Bookmarks entfernt
• FIX vBSEO XHTML Validation
• FIX Neue Foren leiteten auf die Startseite weiter
• FIX Überschreibe Navigationicons Option ist nun nur für vBulletin 3 Versionen verfügbar
• FIX Fehlende MD5 Sum Datei wurde hinzugefügt
• FIX UTF-8 Fehler
• FIX Problem mit Social Bookmarks in den Blogs (vBulletin 4)
• FIX Problem mit doppelter Anhang-URLs
• FIX Memcache Fehler
• FIX Baum-Darstellung erzeugt weiße Seiten

Details des Exploits:
Eine Lücke beim Parsen von externen Thementiteln in BBCode Tags ließ für einen Angreifer ein mögliches Fenster offen, um einen PHP Code, während die Seite geladen wird, auszuführen. Möglicherweise könnte er so Informationen über Ihre Datenbank und Login-Details erhalten oder bösartigen Code in Ihre Datenbank einfügen.

3.5.2 ist im Downloadbereich verfügbar.
http://www.vbseo.com/downloads/


Mein Forum wurde gehackt. Was soll ich tun?
Die meisten Berichte, die wir bislang gesehen haben, waren wie üblich über das Auslesen und Verwenden von Cookies und zudem über Weiterleitungen, welche in der Datenbank eingetragen wurden. Wenn Sie das vBSEO Add-on updaten, wird dieses die Datenbank auffrischen, was alle bösartigen Einträge, die sich möglicherweise in der Datenbank befinden, ausmistet. Sie können auch versuchen nach "base64" und anderen Variationen zu suchen. Verschiedene Beispiele können hier gefunden werden: Forum Code randomly injected into our vbulletin pages (Englisch).

Es wäre vielleicht auch keine schlechte Idee, neue Benutzer beim Posten von neuen Links einzuschränken. Ohne die Möglichkeit einen Link zu posten und diesen zu einem klickbaren Link zu parsen, wäre möglicherweise jeder, der es versucht hätte, entdeckt und durch Ihr Moderations-Team gesperrt worden, bevor dieser etwas anrichten konnte. Es gibt hier eine Anleitung für vBulletin 3 Versionen, wie man eine neue Benutzergruppe diverse Rechte entziehen kann. Es sollte auch angefügt werden, dass dies auch die "Beitrags-Vorschau" Option betrifft, so dass es für einen Angreifer auch ohne einen geposteten Link möglich ist, die oben genannten Informationen zu bekommen.
What countries do you ban, totally (Englisch)
Diese wurde noch nicht für vBulletin 4 konvertiert. Möglicherweise kann ein Benutzer, welcher das zum Laufen bekommen hat, seine Änderungen mitteilen.

Unser Team steht Ihnen zur Verfügung, wenn sie weitere Hilfe benötigen, wie zum Beispiel durch die Benutzung unseres vBSEO - Upgrade Services , um auf unsere aktuellste Version upzudaten. Außerdem hilft Ihnen unser Technik-Team im http://www.vbseo.com/support/ Bereich, sollten Sie noch Fragen oder Probleme haben.

Laden Sie 3.5.2 nun aus dem Downloadbereich herunter!
http://www.vbseo.com/downloads/


Danke,
Das vBSEO Team

Sollten Sie noch vBSEO 3.3.x einsetzen, reicht es aus, die Datei /vbseo/includes/functions_vbseo_hook.php zu überschreiben.

Originally Posted by Fabio Köcher

Sollten Sie noch vBSEO 3.3.x einsetzen, reicht es aus, die Datei /vbseo/includes/functions_vbseo_hook.php zu überschreiben.

Servus,

gilt das auch für 3.2 ?

Es bestand also keine Gefahr, wenn man die Option des Parsen für ext. Linktitel eh deaktiviert hatte, oder?

Hallo,
ich setze Versino 3.2 ein habe im Download - Bereich jedoch keinen Patch finden können. Deshalb jetzt meien Frage: ist diese Version nicht betroffen oder falls doch wo bekomme ich dann einen entsprechenden Patch her?
Vielen Dank schon einmal im Voraus.

Georg

Originally Posted by Fabio Köcher

Sollten Sie noch vBSEO 3.3.x einsetzen, reicht es aus, die Datei /vbseo/includes/functions_vbseo_hook.php zu überschreiben.

das gilt dann sicher auch für das update von 3.5.1 ?

Hallo,

ich habe heute diese Fehlermeldung nach dem Update erhalten:

Warning: preg_replace(): Compilation failed: regular expression is too large at offset 69968 in "....www/vbseo/includes/functions_vbseocp_abstract.php on line 687

wie bekomme ich den Fehler weg ?

Originally Posted by derrene

gilt das auch für 3.2 ?

Guck einmal dort oben: "Versionen, die älter als vBSEO 3.3.0 sind, haben ihr "End of Life" erreicht und werden nocht mehr länger supportet, sondern bleiben von dem Exploit betroffen."

Originally Posted by RolandCP

Es bestand also keine Gefahr, wenn man die Option des Parsen für ext. Linktitel eh deaktiviert hatte, oder?

Dann nicht.

Originally Posted by Georg

ich setze Versino 3.2 ein habe im Download - Bereich jedoch keinen Patch finden können. Deshalb jetzt meien Frage: ist diese Version nicht betroffen oder falls doch wo bekomme ich dann einen entsprechenden Patch her?

Guck einmal dort oben: "Versionen, die älter als vBSEO 3.3.0 sind, haben ihr "End of Life" erreicht und werden nocht mehr länger supportet, sondern bleiben von dem Exploit betroffen." Bitte auf eine neuere Version updaten.

Originally Posted by thompson

das gilt dann sicher auch für das update von 3.5.1 ?

Jup.

Originally Posted by Obi-Wan

ich habe heute diese Fehlermeldung nach dem Update erhalten:

Wo bekommst du diese Fehlermeldung denn?


Gruß,
Fabio

Was habe ich mir unter "Ersetze Seitentitel der Stichwörter" vorzustellen?

Damit wird das Stichwort in den Seitentitel eingetragen.

Sind hier Stichwörter also Tags gemeint die man auch zusätzlich angeben kann oder jene für die Meta Tags? Und wo stellt man das genau ein ob man diese Funktion will oder nicht?

Ja, damit sind die Tags gemeint. Heißen aber in der deutschen vBulletin Version "Stichwörter". Aus- und anschalten kann man das unter vBSEO CP => SEO Funktionen => Replace Tag Page Title... Sorry, dass das auf Englisch ist. Die Entwickler haben auf Grund des schnellen Releases nicht mehr die Übersetzungen aufgenommen. :(

Ich habe die Option Replace Tag Page Title bei mir aktiviert, sehe aber keinen Unterschied zu vorher ... hmmm

Kann ich beim Upgrade von 3.5.0 RC auf die neueste Version grawierende Fehler machen und mir mein Forum komplett "abschießen"?

Bin noch relativ "neu" ;-)

Wenn du vorher eine Sicherung deiner Einstellungen erstellst eigentlich nicht.

Wobei, wenn du das vBSEO Add-on deinstallierst musst du die Option auswählen, dass die Einstellungen in der Datenbank gelassen werden sollen und nicht gelöscht werden.


Gruß,
Fabio