In vBSEO 3.5.x wurde eine Sicherheitslücke entdeckt, welche die Veröffentlichung von vBSEO 3.5.1 PL1 nötig machte. Alle Kunden, die aktuell die 3.5.x-Serie betreiben, sollten schnellstmöglich updaten. Die Downloads mit der Bezeichnung 3.5.1 und 3.5.0 wurden für die Kunden, welche entweder nicht auf eine neuere Version updaten wollen oder deren Lizenz abgelaufen ist, ebenso mit diesem Patch aktualisiert. Die Release Candidates sind nicht mehr verfügbar und sollten direkt auf die aktuellste Version upgedatet werden.

3.5.1 PL1 enthält zudem einige kleinere Bugfixes, welche seit der Veröffentlichung von 3.5.1 bekannt wurden. Es wurden keine neuen Features integriert, sondern nur die gemeldeten Fehler behoben. Eine komplette Liste wird nicht veröffentlicht, da in diesem Moment unser Hauptaugenmerk dieser Veröffentlichung die Sicherheit ist. Eine vollständige Updateliste wird mit dem Release von 3.5.2 beigefügt.

Dieser Fehler betrifft nicht vBSEO 3.3.x und niedrigere Versionen.

Details zu diesem Exploit:
Eine beschreibbare config.xml Datei (CHMOD 0666) kann beeinträchtigt werden. Wir raten unseren Kunden, nachdem sie ihre Änderungen in den Einstellungen gemacht haben, ihre Dateien mit 0644 Berechtigungen zu sichern. Selbst dann kann es sein, dass bei falsch eingestellten Server auf Grund der Apache Berechtigungen das Überschreiben einer 664 Datei möglich ist.
Wenn Sie Ihre vBSEO Einstellungen mit Ihrer config.xml, welche CHMOD 644 besitzt, ändern können, sollten sie Ihren Administrator auf Grund der Server-Sicherheit kontaktieren. Die sollte NICHT funktionieren. vBSEO sollte eine Fehlermeldung ausgeben, welche besagt, dass die Konfig-Datei nicht beschreibbar ist.

Falls Sie SSH Zugang besitzen, können Sie versuchen, die Konfig-Datei auf einen anderen Benutzer zu übertragen. Oleg erklärt dies in diesem Thema ein wenig näher: config.xml settings changed randomly - security issue? (Englisch)

In dem selben Thema gibt es eine aktive Diskussion über diese Lücke: config.xml settings changed randomly - security issue? (Englisch)


Beachten Sie bitte, dass wir nicht Ihre Server Admins sind und wir Ihnen nur einen Ratschlag geben können, wenn es um die Sicherheit Ihres Servers geht - wir können es aber nicht für Sie einrichten.

3.5.1 PL1 ist nun im Download-Bereich erhältlich.
http://www.vbseo.com/downloads/


Mein Forum wurde gehackt. Was soll ich tun?
Viele Benutzer melden eine Änderung in Ihren URL Einstellungen und einen Traffic Verlust durch eine Javascript Weiterleitung.

Wenn Sie denken, dass Sie betroffen sind, sollten Sie am besten folgendes tun:
- Installieren Sie vBSEO 3.5.1 PL1
- Importieren Sie ein vbseo_all.xml Backup in Ihrem vBSEO CP und sichern sie Ihren Key und das Passwort.
Sollten Sie kein Backup besitzen, versuchen Sie bitte - je nachdem wie genau Sie sich erinnern - Ihre URLs so einzustellen, wie sie vorher waren. Nutzen Sie den site: Befehl in Google, um Ihre indizierten Links als Hinweis zu finden. Und wenn Sie fertig sind, sichern Sie Ihre Einstellungen, damit Sie diese in Zukunft besitzen.


Unser Team steht Ihnen zur Verfügung, wenn sie weitere Hilfe benötigen, wie zum Beispiel durch die Benutzung unseres vBSEO - Upgrade Services , um auf unsere aktuellste Version upzudaten. Außerdem hilft Ihnen unser Technik-Team im http://www.vbseo.com/support/ Bereich, sollten Sie noch Fragen oder Probleme haben.

Sie können Ihr vBSEO 3.5.1 PL1 ab sofort in unserem Download Bereich herunterladen!
http://www.vbseo.com/downloads/


Bitte diskutieren Sie dieses Anliegen hier:
- config.xml settings changed randomly - security issue? - vBulletin SEO Forums (Englisch)
- Hilfe, vBSEO setzt sich selbst zurück ! (Deutsch)

Vielen Dank,
Das vBSEO Team