vBSEO Security Bulletin - vBSEO 3.3.2 freigegeben

27. Oktober 2009

Eine potenzielle schwerwiegende Sicherheitslücke führt zur Freigabe von vBSEO 3.3.2. Wir raten allen Kunden schnellstmöglich auf vBSEO 3.3.2 upzudaten. Diese Sicherheitslücke betrifft alle Versionen vor vBSEO 3.3.2. Sollten Sie Ihr System nicht patchen, könnte Ihr System gefährdet sein.

3.3.2 beinhaltet weiterhin ein paar kleinere Bugfixes, welche nach der Freigabe von der Version 3.3.1. bekannt geworden sind.

Downloaden Sie 3.3.2 jetzt
https://www.vbseo.com/downloads/


Ältere Versionen patchen
Sollten Sie momentan nicht auf 3.3.2 updaten können, haben Sie die Möglichkeit vBSEO zu patchen. Bitte wählen Sie den, zur installierten Version passenden, Patch aus und befolgen Sie die nachfolgenden Anweisungen:

Patch für vBSEO 3.3.2: vBulletin SEO Forums
Patch für vBSEO 3.3.1: vBulletin SEO Forums
Patch für vBSEO 3.3.0: vBulletin SEO Forums
Patch für vBSEO 3.2: vBulletin SEO Forums



Die vBSEO Version 3.1.x und älter haben ihr "End of Life" erreicht. Aus diesem Grund bieten wir weder jetzt noch später einen Patch an. Sollten Sie eine ältere Version als vBSEO 3.2. einsetzen, empfehlen wir Ihnen dringend mindestens auf 3.2. upzudaten (aktuellste Version 3.3.2. wird empfohlen)

Installieren Sie den Patch:
Fortgeschrittene Benutzer:

• Laden Sie die Dateien per FTP hoch und überschreiben Sie die jetzigen Installationsdateien.

Schritt für Schritt:

• Laden Sie die passende Patchversion für Ihre vBSEO Instanz herunter (siehe oben).
• Entpacken Sie das Archiv mit einem Entpacker-Tool
• Wechseln Sie zum Hauptverzeichnis Ihrer vB-Instanz und laden Sie den gesamten Inhalt des Ordners hoch. Achten Sie darauf, dass das Überschreiben von Dateien in Ihrem FTP Client aktiviert ist.

Es gibt kein Upgrade Skript, zu installierendes Produkt, Änderungen an der .htaccess Datei oder Änderung an den Konfigurationsdateien welche mit diesem Patch installiert werden.

Benötigen Sie Hilfe?
Sollten Sie Fragen bzgl. des Upgrades oder Fragen zum Patchvorgang haben, erstellen Sie bitte ein Support Ticket:vBSEO.com Helpdesk. Unser Team steht Ihnen jederzeit gerne mit Rat und Tat zur Seite.

Ihre Sicherheit hat für uns die höchste Priorität.

Ihr vBSEO Team

´Naabend...

mensch da entdeckt man rein Zufällig das es ein "Security Bulletin" gibt...Es gab keinerlei Mail von euch dazu?!!

Hey Sören,

nach meinen Informationen sollte jeder Kunde einen SB bekommen haben (allerdings auf Englisch)?

Hast du dir mal deinen SPAM Ordner angesehen?

Nöö da war nix...

Selbst mein Addon "Version überprüfen für alle Hacks" schlug keinen Alarm, was sonst bei allen Vorversionen der Fall war.


Ach...weil hier immer noch 3.3.1 angezeigt wird:

http://www.vbseo.com/info/version.ph...lability_vbseo

Hey Sören,

das soll so nicht sein

Das wird vom Team korrigiert

Eine Variation dieser Sicherheitslücke wurde in der englischen Ankündigung gemeldet. Diese Lücke konnte heute geschlossen werden.
Es betrifft *nur* Foren, welche das Dateisystem als Speicherort für Anhänge, Benutzerbilder oder Mitgliederprofilbilder nutzt. Ein aktualisierter Security Bulletin wurde an alle vBSEO Lizenzinhaber gemailt.

Zusätzlich wurden die o.g. Patches aus dem ersten Beitrag aktualisiert und zeigen nun auf die neue Patchversion.

Wir möchten uns für diese zwei schnell aufeinanderfolgenden Updates entschuldigen.

Wir haben versucht den patch bei uns einzubinden was prompt dazu führte das das gesamte Forum nicht mehr lief. Alles was dann noch zu sehen war war :


Insofern besteht da noch Verbesserungsbedarf an dem Patch.

die neue vbseo.php inkcudiert "/includes/functions_vbseo.php" welche wiederum das ebenfalls gepatchte File "/includes/functions_vbseo_url.php" includiert.
Trotzdem sind die beiden neuen functions dann nicht in vbseo.php verfügbar...
Selbst manuelles, explizites includieren hilft nicht.

Sehr geehrter Herr Wennekers,

ich habe das Problem an unseren Chefentwickler weitergeleitet und melde mich schnellstmöglich.

Sehr geehrter Herr Wennekers,

nach heutiger Rückmeldung unseres Chefentwicklers sollten Sie sicherstellen, dass Sie die functions_vbseo_url.php ersetzt haben. Diese Datei enthält die (momentan fehlende) Definition.

Update: Bei dem Kunden lag höchstwahrscheinlich ein Caching Problem vor. Der Patch konnte eingespielt werden.

Wieso erhalte ich beim Aufruf der URL: https://www.vbseo.com/downloads/

"Page not found"

Hey,

vielleicht war es ein temporäres Problem. Ich habe die Seite mehrmals aufrufen können

Hey,

genau so war es... es funktioniert nun.

Klasse

Hallo.

Kann mir bitte jemand diese Sicherheitslücke erläutern? Was genau kann ein Angreifer machen?

PHP Code:

174.121.227.149 - - [01/Jun/2010:20:24:22 +0200] "GET  /vbseo.php?vbseoembedd=1&vbseourl=customavatarscustomavatars/avatar407_1.gif  HTTP/1.0" 200 244 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;  rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)"

174.121.227.149 - - [01/Jun/2010:20:24:27 +0200] "GET  /vbseo.php?vbseoembedd=1&vbseourl=customavatars/avatar407_1.gif  HTTP/1.0" 200 427 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;  rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)" 


Denn mein Forum wurde angegriffen und das (siehe oben) stand unter anderem in den Logs. Kann es sein das jemand diese Lücke bei mir genutzt hat? Ich hatte die vBSeo Version 3.3.1 installiert.