- Registriert
- März 2001
- Beiträge
- 17.203
In der Forumsoftware vBulletin 5 wurden zwei Sicherheitslücken gefunden. Das ComputerBase-Forum nutzt vBulletin 4.2.5 und ist von den Sicherheitslücken daher nicht betroffen.
Beide Security Advisories beziehen sich ausdrücklich auf vBulletin 5 (abgesehen vom Nennen des Marktanteils von vB4). Ich habe darüber hinaus aber auch einen Blick in den Code geworfen: Die erste Sicherheitslücke befindet sich in Code, den es in vBulletin 4 offenbar gar nicht gibt. Die zweite Sicherheitslücke befindet sich in Code, den es zumindest teilweise auch in vBulletin 4 gibt. Aber zum einen scheint es in vB4 den ausgenutzten Einstiegspunkt nicht zu geben (nur eine Vermutung) und zum anderen wurde mit dem letzten vBulletin-4-Update auf Version 4.2.5 der Code so geändert, dass insbesondere an der fraglichen Stelle die "unserialize"-Funktion keine Objekt mehr unterstützt (das ist sicher). vBulletin 4.2.5 haben wir schon im Mai 2017 kurz nach Release installiert.
Wir sind uns daher sicher, dass das ComputerBase-Forum von den Sicherheitslücken nicht betroffen ist. Unabhängig davon arbeiten wir seit ein paar Monaten am Umstieg auf eine neue Forumsoftware, die von kompetenten Entwicklern aktiv vorangetrieben wird.
Beide Security Advisories beziehen sich ausdrücklich auf vBulletin 5 (abgesehen vom Nennen des Marktanteils von vB4). Ich habe darüber hinaus aber auch einen Blick in den Code geworfen: Die erste Sicherheitslücke befindet sich in Code, den es in vBulletin 4 offenbar gar nicht gibt. Die zweite Sicherheitslücke befindet sich in Code, den es zumindest teilweise auch in vBulletin 4 gibt. Aber zum einen scheint es in vB4 den ausgenutzten Einstiegspunkt nicht zu geben (nur eine Vermutung) und zum anderen wurde mit dem letzten vBulletin-4-Update auf Version 4.2.5 der Code so geändert, dass insbesondere an der fraglichen Stelle die "unserialize"-Funktion keine Objekt mehr unterstützt (das ist sicher). vBulletin 4.2.5 haben wir schon im Mai 2017 kurz nach Release installiert.
Wir sind uns daher sicher, dass das ComputerBase-Forum von den Sicherheitslücken nicht betroffen ist. Unabhängig davon arbeiten wir seit ein paar Monaten am Umstieg auf eine neue Forumsoftware, die von kompetenten Entwicklern aktiv vorangetrieben wird.
Zuletzt bearbeitet:
