1. #1
    Technische Leitung
    Dabei seit
    Mär 2001
    Beiträge
    12.342

    Über zwei Sicherheitslücken in vBulletin 5 (CB-Forum nicht betroffen)

    In der Forumsoftware vBulletin 5 wurden zwei Sicherheitslücken gefunden. Das ComputerBase-Forum nutzt vBulletin 4.2.5 und ist von den Sicherheitslücken daher nicht betroffen.

    Beide Security Advisories beziehen sich ausdrücklich auf vBulletin 5 (abgesehen vom Nennen des Marktanteils von vB4). Ich habe darüber hinaus aber auch einen Blick in den Code geworfen: Die erste Sicherheitslücke befindet sich in Code, den es in vBulletin 4 offenbar gar nicht gibt. Die zweite Sicherheitslücke befindet sich in Code, den es zumindest teilweise auch in vBulletin 4 gibt. Aber zum einen scheint es in vB4 den ausgenutzten Einstiegspunkt nicht zu geben (nur eine Vermutung) und zum anderen wurde mit dem letzten vBulletin-4-Update auf Version 4.2.5 der Code so geändert, dass insbesondere an der fraglichen Stelle die "unserialize"-Funktion keine Objekt mehr unterstützt (das ist sicher). vBulletin 4.2.5 haben wir schon im Mai 2017 kurz nach Release installiert.

    Wir sind uns daher sicher, dass das ComputerBase-Forum von den Sicherheitslücken nicht betroffen ist. Unabhängig davon arbeiten wir seit ein paar Monaten am Umstieg auf eine neue Forumsoftware, die von kompetenten Entwicklern aktiv vorangetrieben wird.
    Geändert von Steffen (18.12.2017 um 12:05 Uhr)
    „Perfektion ist nicht dann erreicht, wenn man nichts mehr hinzufügen, sondern wenn man nichts mehr weglassen kann.“ – Antoine de Saint-Exupéry

    Lesetipp: Meinungsfreiheit / „Freedom of Speech“ vs. Zensur

    Twitter: @steffenweber

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite