Ankündigung Über zwei Sicherheitslücken in vBulletin 5 (CB-Forum nicht betroffen)

Status
Es sind keine weiteren Antworten möglich.

Steffen

Technische Leitung
Teammitglied
Dabei seit
März 2001
Beiträge
13.182
#1
In der Forumsoftware vBulletin 5 wurden zwei Sicherheitslücken gefunden. Das ComputerBase-Forum nutzt vBulletin 4.2.5 und ist von den Sicherheitslücken daher nicht betroffen.

Beide Security Advisories beziehen sich ausdrücklich auf vBulletin 5 (abgesehen vom Nennen des Marktanteils von vB4). Ich habe darüber hinaus aber auch einen Blick in den Code geworfen: Die erste Sicherheitslücke befindet sich in Code, den es in vBulletin 4 offenbar gar nicht gibt. Die zweite Sicherheitslücke befindet sich in Code, den es zumindest teilweise auch in vBulletin 4 gibt. Aber zum einen scheint es in vB4 den ausgenutzten Einstiegspunkt nicht zu geben (nur eine Vermutung) und zum anderen wurde mit dem letzten vBulletin-4-Update auf Version 4.2.5 der Code so geändert, dass insbesondere an der fraglichen Stelle die "unserialize"-Funktion keine Objekt mehr unterstützt (das ist sicher). vBulletin 4.2.5 haben wir schon im Mai 2017 kurz nach Release installiert.

Wir sind uns daher sicher, dass das ComputerBase-Forum von den Sicherheitslücken nicht betroffen ist. Unabhängig davon arbeiten wir seit ein paar Monaten am Umstieg auf eine neue Forumsoftware, die von kompetenten Entwicklern aktiv vorangetrieben wird.
 
Zuletzt bearbeitet:
Status
Es sind keine weiteren Antworten möglich.
Top