PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vBulletin 3.6.10 verfügbar - Feedback



pogo
23.04.2008, 17:54
Gespannt erwarten wir Ihre Kommentare über Ihren ersten Eindruck von vBulletin 3.6.10.

Probleme und Bugs bitte im entsprechenden Forum beschreiben oder direkt im Bug-Tracker (http://www.vbulletin.com/forum/project.php?do=issuelist&projectid=6&issuetypeid=bug&appliesgroupid=7) bei vBulletin.com melden.

Thomas P
23.04.2008, 18:04
Betrifft das "nur" Administrator-Accounts oder auch Moderatoren?


Danke wie immer für die schnelle Reaktion und die schnelle Verfügbarkeit.

pogo
23.04.2008, 18:19
Das betrifft im Prinzip das gesamte Frontend. Also auch Moderatoren und normale Benutzer.
Besonders gefährlich sind aber in der Regel nur Admin- und Modkonten, weil die z.B. Themen und Beiträge löschen können.

[Arnold]
23.04.2008, 18:29
Könntet Ihr bitte noch das englische Sprachpaket online stellen? Danke.

jazde86
23.04.2008, 18:38
War das bisher nicht immer so das es Sicherheitsupdates gratis, also auch mit abgelaufener Update-Lizenz, gab? Gibts das diesmal nur nicht, da es keinen Patch gibt ohne komplett zu aktualisieren?

PaintSplasher
23.04.2008, 18:41
Update lief wie erwartet ohne Probleme. 4 Templates musste ich nur durchschauen.

Thomas P
23.04.2008, 18:57
Das betrifft im Prinzip das gesamte Frontend. Also auch Moderatoren und normale Benutzer.
Besonders gefährlich sind aber in der Regel nur Admin- und Modkonten, weil die z.B. Themen und Beiträge löschen können.

Alles klar - Danke


Eine Frage noch: Das automatische Templateänderungsupgrade funktioniert nur von 3.6.9 auf 3.6.10, oder?

Mystics
23.04.2008, 19:03
;216384']Könntet Ihr bitte noch das englische Sprachpaket online stellen? Danke.vBulletin 3.6.10 (Englisch) - Sprachpaket und Grafiken (http://www.vbulletin-germany.com/forum/showthread.php?p=216394#post216394)

Eine Frage noch: Das automatische Templateänderungsupgrade funktioniert nur von 3.6.9 auf 3.6.10, oder?
Die entsprechende Funktion ist im Upgradeskript upgrade_3610.php, also lautet die Antwort wohl Ja.

Delazar
23.04.2008, 19:28
Ist es möglich das ihr die deutsche Sprachpaket von 3.7 hochladet.
Den ich habe noch die 3.6.4 Version am laufen und wollte jetzt direkt auf 3.7 updaten. Ich habe einfach keinen lust mein Style an der 3.6.10 anzupassen und dann wieder an der 3.7.
Also bitte ich euch das Sprachpaket so weit es bis jetzt von der 3.7 fertig ist, zu Verfügung zu stellen.

Danke und Gruß
Delazar

daFish
23.04.2008, 19:40
Vielen Dank für die Bereitstellung der neuen Version. Das Upgrade ging innerhalb von 5 Minuten ohne Zwischenfälle durch (auch dank dem TMS). :)

Spenser
23.04.2008, 20:27
Wann gibts denn die Infos, welche Änderungen in eigenen Formularen gemacht werden müssen?

k0m4
23.04.2008, 20:27
Keine Probleme, alles schick (so weit ich das jetzt schon beurteilen kann). :cool:

Andreas
23.04.2008, 20:35
Wann gibts denn die Infos, welche Änderungen in eigenen Formularen gemacht werden müssen?

Morgen im Laufe des Tages, vmtl. gegen Abend.

Ich habe gerade eine Handvoll Upgrades hinter mir (und die nächsten Tage etliche Hände voll incl tonnenweise Add-ons :-( vor mit) und brauch erstmal ne Mütze voll Schlaf.

Sorry.

Merlin_
23.04.2008, 20:58
Hallo,
Udgrade ging problemlos. Hoffentlich kann ich das bei der 3.7 Gold auch schreiben :rolleyes:.
Gruss,Micha

Pathor
23.04.2008, 20:59
Vielen Dank für die Bereitstellung der neuen Version. Das Upgrade ging innerhalb von 5 Minuten ohne Zwischenfälle durch (auch dank dem TMS). :)
*unterschreib*

Wobei das Hochladen der Dateien bei mir länger als 5 Minuten gedauert hat.

Sebijk
23.04.2008, 21:04
War das bisher nicht immer so das es Sicherheitsupdates gratis, also auch mit abgelaufener Update-Lizenz, gab? Gibts das diesmal nur nicht, da es keinen Patch gibt ohne komplett zu aktualisieren?

Ich denke mal, dass evtl. auch 3.5 und 3.0 davon betroffen sein könnten, aber wie man sieht, gibt es dazu keinen Sicherheitsupdate.

Walli
23.04.2008, 21:08
Ist es möglich das ihr die deutsche Sprachpaket von 3.7 hochladet.
Den ich habe noch die 3.6.4 Version am laufen und wollte jetzt direkt auf 3.7 updaten. Ich habe einfach keinen lust mein Style an der 3.6.10 anzupassen und dann wieder an der 3.7.
Also bitte ich euch das Sprachpaket so weit es bis jetzt von der 3.7 fertig ist, zu Verfügung zu stellen.

Danke und Gruß
Delazar

Ja das wünsche ich mir auch

Jim
23.04.2008, 21:12
Hi,

Ich denke mal, dass evtl. auch 3.5 und 3.0 davon betroffen sein könnten,

gute Frage - so ganz genau geht das aus der Ankündigung m.E. leider nicht hervor. Daher nochmal die Frage: Das "Wenn Sie vBulletin 3.6.9 oder eine ältere Version installiert haben..." bedeutet das auch vB 3.0.xx davon betroffen ist und wenn ja, wie oben schon gefragt, wie schließt man die Sicherheitslücke wenn die Update-Lizenz abgelaufen ist? :confused: Ein kompl. Update von 3.0.xx auf 3.6.10 kann's doch eigentlich nicht sein. Das würde z.B. auf meinem alten Server nicht funktionieren. :(

Gruß Jim

Sebijk
23.04.2008, 21:17
Wann gibts denn die Infos, welche Änderungen in eigenen Formularen gemacht werden müssen?

Einige findet man ja in der Ankündigung:


Details: Finden Sie:
<input type="hidden" name="s" value="$session[sessionhash]" />
Fügen Sie dahinter folgenden Code ein:
<input type="hidden" name="securitytoken" value="$bbuserinfo[securitytoken]" />


Hinweis: Auch wenn die Liste geänderter Dateien sehr lang ist, wurde in den meisten Dateien nur
define('CSRF_PROTECTION', true); direkt unter define('THIS_SCRIPT', '...
am Anfang der Datei hinzugefügt.

Einfach mal testen, ob es reicht.

Spenser
23.04.2008, 21:33
Einige findet man ja in der Ankündigung:





Einfach mal testen, ob es reicht.
Beim "PM-Attachment"-Mod reicht das nicht.

Sebijk
23.04.2008, 22:17
naja, man kann ja noch in attachment.php und newreply.php nachschauen. Am besten mit den letzten Versionen vergleichen.

Bogus
24.04.2008, 02:20
Also bitte ich euch das Sprachpaket so weit es bis jetzt von der 3.7 fertig ist, zu Verfügung zu stellen.

Da möchte ich mich gerne anschliessen ;D

citrix
24.04.2008, 08:29
Die Änderungen in 3.6.10 und 3.7.0 RC4 verhindern, das Formulare im Code von Modifikationen, Plug-ins und Addons weiterhin funktionieren.

Es ist jedoch einfach, den Code entsprechend anzupassen und das neue Securitytoken hinzuzufügen, so dass alles wie gewohnt funktioniert.

Was bedeutet das nun für meine eingebauten Hacks :)?

Ansonsten : Problemlos installiert, danke ;)

bezibaerchen
24.04.2008, 08:40
Eine Frage: Wenn ich alles aus dem Upload-Ordner hochlade, sind da ja auch Grafiken bei, die dann z.B. thead, Statusicons etc ueberschreiben. Wie geht man da beim Update vor? Image-Ordner auslassen? Sonst noch was? Diesmal denk ich dran und frage nach, letztes Mal mussten wir die Grafiken kompl. neu machen (mein Favicon fehlt immernoch ;) ).

citrix
24.04.2008, 08:43
Richtig, wobei sich die Frage mit den Grafiken nur stellt, wenn du den Standard-Style modifiziert hast.
Alle anderen Styles haben ja normalerweise einen eigenen Grafikordner.

Andreas
24.04.2008, 08:44
Was bedeutet das nun für meine eingebauten Hacks :)?
Das hängt von der Art des Hacks ab:


Verarbeitet dieser keine POST Daten ist er nicht betroffen
Beispiele: Top X Stats, Multi login Detector
Fügt er neue Actions in vBulletin Scripten hinzu oder verwendet eigene Formulare, so funktioniert er nach dem Update ggf. nicht mehr - bei einer Neuinstallation nach dem Update definitiv nicht mehr.
Beispiele: vBAdvanced CMPS Login- oder Suchmodul
Verwendet er nur eigene Scripte und Formulare so funktioniert er nach dem Update weiterhin, ist aber ungesichert.
Beispiele: PhotoPost vBGallery


Zusammengefasst würde ich sagen dass ein Großteil aller Hacks nur noch mit Einschränkungen funktioniert.

Generell ist aber hier der Falsche Platz für solche Fragen ;)

bezibaerchen
24.04.2008, 09:08
Richtig, wobei sich die Frage mit den Grafiken nur stellt, wenn du den Standard-Style modifiziert hast.
Alle anderen Styles haben ja normalerweise einen eigenen Grafikordner.




Ich habe grade das Paket ohne Grafiken entdeckt :)

Coroner
24.04.2008, 09:08
Na dann hoffe ich mal fix auf die Info.

Silmarillion
24.04.2008, 09:42
Welche Versionen sind hiervon nun exakt betroffen?

Nur die 3.6.9, oder schon vorherige? Falls Letzteres zutreffen sollte...ab welcher Version genau?

Andreas
24.04.2008, 09:45
Soweit ich das sehe 1.0 bis incl. 3.6.9

Silmarillion
24.04.2008, 09:53
Alles klar. Danke, Andreas. Dann heißt es UPDATEN!:)

Schraubär
24.04.2008, 10:03
Danke !

Hat super geklappt,
auch wenn ich kein upgrade vor hatte...

Lediglich (soweit einsehbar) brauchte mein Ruleshack
eine kurze Überarbeitung.

Freu mich auf 3.7.x

jazde86
24.04.2008, 16:31
War das bisher nicht immer so das es Sicherheitsupdates gratis, also auch mit abgelaufener Update-Lizenz, gab? Gibts das diesmal nur nicht, da es keinen Patch gibt ohne komplett zu aktualisieren?


Ich denke mal, dass evtl. auch 3.5 und 3.0 davon betroffen sein könnten, aber wie man sieht, gibt es dazu keinen Sicherheitsupdate.

Kann sich bitte jemand vom Team dazu äußern, wie die Sachlage ist bezüglich Sicherheitsupdates.

pogo
24.04.2008, 16:53
Sicherheitsupdates sind nur dann für abgelaufene Versionen erhältlich, wenn Sie einfach mittels Patches oder Plug-in zu beheben sind. Das ist aber auch eher ein Zufall, da wir diese Patches und Plug-ins im Forum zu Verfügung stellen und den Downloadzugriff für inaktive Vollversions-Lizenzinhaber natürlich nicht generell deaktivieren.

Updates für 3.0 und 3.5 wird es nicht geben.

hohleweg
24.04.2008, 16:57
Hallo
Bei der Installation kam folgender Fehler:

Parse error: syntax error, unexpected T_LNUMBER in /home/www/web151/html/buggy125/forum/includes/config.php on line 145

Welcher Teil ist das? wie kann ich sehen was in Zeile 145 steht
bzw. wie finde ich Zeilen

Zum Update habe ich die letzte online.php genommen,

war das dann i.o. oder bekomme ich Probleme?

Das ganz Update hat aber funktioniert und auch das Forum läuft wieder.
Gruß Joachim

pogo
24.04.2008, 17:02
Du könntest einen Texteditor nehmen, der die Zeilenzahlen anzeigt.

Zeile 145 ist normalerweise

$config['SpecialUsers']['canrunqueries'] = '';

Überprüf das mal.

hohleweg
24.04.2008, 17:44
Hallo
Ja das wars ich habe da eine 1 eingetragen und das
klappte wohl nicht, nun wie im originalen gelassen

nochmal mit der neuen online.php drüber geupdatet und alles i.O.
Danke.
Gruß Jo

thompson
24.04.2008, 18:08
könnte man auch gleich von 3.6.8 auf 3.6.10 gehen ?

Alluidh
24.04.2008, 18:09
Ja, das die Updates eh immer einzeln ausgeführt werden.

Andreas
24.04.2008, 18:10
Klaro.

Jim
24.04.2008, 21:26
Sicherheitsupdates sind nur dann für abgelaufene Versionen erhältlich, wenn Sie einfach mittels Patches oder Plug-in zu beheben sind. Das ist aber auch eher ein Zufall, da wir diese Patches und Plug-ins im Forum zu Verfügung stellen und den Downloadzugriff für inaktive Vollversions-Lizenzinhaber natürlich nicht generell deaktivieren.

Updates für 3.0 und 3.5 wird es nicht geben.

Ok - das verstehe ich dann so, auch wenn es m.E. noch keine konkrete, "offizielle" Aussage dazu gegeben hat, dass
a) die Sicherheitslücke auch ältere Versionen von vB (z.B. 3.0.xx) betrifft
oder
b) Ihr es nicht wisst
und
c) es bisher nur "Zufall" war das auch Sicherheitslücken bei älteren Versionen geschlossen wurden und das das jetzt nicht mehr der Fall ist.
Soweit richtig?

Das würde dann bedeuten das jetzt alle vB Kunden auf die aktuelle Version updaten müssen, oder sie haben die Sicherheitslücke? Richtig?

[Sarkasmus an - Sorry muß sein]
Ist natürlich auch eine Form wie man Besitzer einer Vollversion zum Update bewegen kann. :o :rolleyes: :D
[Sarkasmus aus]

Gruß Jim

Andreas
25.04.2008, 05:55
Das würde dann bedeuten das jetzt alle vB Kunden auf die aktuelle Version updaten müssen, oder sie haben die Sicherheitslücke? Richtig?
So würde ich das sehen, ja.
Es ist nun einmal so dass sich dieses Problem nicht durch einen einfchen Patch beheben lässt, sondern quasi jede Frontend-Datei, sehr viele JavaScript-Dateien und Templates geändert werden müssen.

Das lässt sich nur duch ein vollständiges Upgrade durchführen.

s.molinari
25.04.2008, 07:34
[Sarkasmus an - Sorry muß sein]
Ist natürlich auch eine Form wie man Besitzer einer Vollversion zum Update bewegen kann. :o :rolleyes: :D
[Sarkasmus aus]

Gruß JimHi Jim,

Das ist natürlich nicht unsere Absicht. Wir hätten lieber wie geplant 3.7.0 Gold releasen können. Aber Sicherheit geht vor. Das wird bei uns nie anders sein.

Scott

Jim
25.04.2008, 08:02
Moin Andreas und Scott

So würde ich das sehen, ja.

Danke für Deine Antwort. Ich hatte Deine vorhergehende natürlich auch schon gelesen, aber ich warte noch auf ein offizielles Statement von Adduco Digital e.K. ;)


Das ist natürlich nicht unsere Absicht. Wir hätten lieber wie geplant 3.7.0 Gold releasen können. Aber Sicherheit geht vor. Das wird bei uns nie anders sein.

Das ist schon klar und selbstverständlich.
Könntest Du mir bitte auf den Rest meines Postings auch eine Antwort geben, nämlich hierauf:

Ok - das verstehe ich dann so, auch wenn es m.E. noch keine konkrete, "offizielle" Aussage dazu gegeben hat, dass
a) die Sicherheitslücke auch ältere Versionen von vB (z.B. 3.0.xx) betrifft
oder
b) Ihr es nicht wisst
und
c) es bisher nur "Zufall" war das auch Sicherheitslücken bei älteren Versionen geschlossen wurden und das das jetzt nicht mehr der Fall ist.
Soweit richtig?

Das würde dann bedeuten das jetzt alle vB Kunden auf die aktuelle Version updaten müssen, oder sie haben die Sicherheitslücke? Richtig?

Danke und Gruß

Jim

redlabour
25.04.2008, 09:18
An alle Autoren von Modifikationen, Plug-ins und Addons:

Die Änderungen in 3.6.10 und 3.7.0 RC4 verhindern, das Formulare im Code von Modifikationen, Plug-ins und Addons weiterhin funktionieren.

Es ist jedoch einfach, den Code entsprechend anzupassen und das neue Securitytoken hinzuzufügen, so dass alles wie gewohnt funktioniert.

Genauere Informationen werden in Kürze bei www.vbulletin-germany.org und www.vbulletin.org verfügbar sein.
Geändert von pogo (23.04.2008 um 21:52 Uhr).

Wo denn genau? Wann denn?

TheCatcher
25.04.2008, 09:55
Hi Jim,

Das ist natürlich nicht unsere Absicht. Wir hätten lieber wie geplant 3.7.0 Gold releasen können. Aber Sicherheit geht vor. Das wird bei uns nie anders sein.

Scott
hätte man selbige Sicherheit nicht dennoch auch mit der 3.7er Version erreicht? (wenn diese dann diese Lücke nicht hat) dann wäre es doch das selbige gewesen? oder Irre ich?
ist doch egal ob um sicherheit zu bekomme auf die 3.6.10er oder die 3.7er - wenn diese natürlich sicher ist!

Alluidh
25.04.2008, 10:02
Wo denn genau? Wann denn?
http://www.vbulletin-germany.org/showthread.php?t=3515
Seit gestern 19:58 Uhr


hätte man selbige Sicherheit nicht dennoch auch mit der 3.7er Version erreicht? (wenn diese dann diese Lücke nicht hat) dann wäre es doch das selbige gewesen? oder Irre ich?
ist doch egal ob um sicherheit zu bekomme auf die 3.6.10er oder die 3.7er - wenn diese natürlich sicher ist!
Kier hatte es so erklärt, dass man durch die Menge an Änderungen lieber noch einen Release Candidaten zum allgemeinen Test als supportete Vollversion an den Start bringen wollte, was aus seiner Sicht mehr als verständlich ist. So kommt die 3.7 Gold halt in der nächsten Woche, wenn keine Probleme gemeldet werden.

s.molinari
25.04.2008, 15:58
Moin Andreas und Scott

Das ist schon klar und selbstverständlich.
Könntest Du mir bitte auf den Rest meines Postings auch eine Antwort geben, nämlich hierauf:


Danke und Gruß

JimHi Jim,

a)Ja, natürlich. Von der Art der Sicherheitslücke müsste es eigentlich klar sein. Aber ok. Das haben wir nicht erwähnt. Wir sind auch der Ansicht, dass wir nicht für ältere Versionen verantwortlich sind. Lese bitte weiter.....

b)Ältere Versionen von vBulletin werden nicht auf Sicherheitslücken geprüft oder korrigiert. Wer seine Forumsoftware nicht auf dem aktuellen Stand hält, muss selbst für die Risiken verantworten.

c)Wenn eine Sicherheitslücke durch ein Patch korrigiert werden kann, dann wird ein Patch dafür veröffentlicht. Für "ältere" Versionen hat es nie Patches gegeben. Wir haben immer versucht die aktuellste Version zu patchen und haben eine neue Version dazu veröffentlicht.

Wie auch in der Veröffentlichung geschrieben, ist die Anzahl der Änderungen in dieser neuen Version so viel, dass wir mit einer Korrektur durch ein Patch in diesem Fall nicht helfen können. Das heisst dann ja, alle Kunden sollen upgraden. Wir empfehlen immer, dass alle Kunden upgraden sollen, wenn die neue Version Sicherheitsprobleme korrigiert.

Scott

Spenser
25.04.2008, 16:11
Ich versteh die Aufregung eh nicht. Bei M$ regt sich niemand darüber auf, dass es für Windows98 und NT keine Patches mehr gibt.
Und bei vb soll anscheinend ständig Patches für alte Versionen geben. Der Pflegeaufwand wäre dann wohl so enorm, dass es kaum noch was Neues geben würde...

Thomas P
25.04.2008, 16:38
Die entsprechende Funktion ist im Upgradeskript upgrade_3610.php, also lautet die Antwort wohl Ja.

Wenn ich das richtig verstehe, muss man also auf die 3.6.9 upgraden, dann die templates reverten, dann auf die 3.6.10 upgraden, um in den Genuss dieser automatischen Templateänderungsfunktion zu kommen?

pogo
25.04.2008, 16:55
Wenn ich das richtig verstehe, muss man also auf die 3.6.9 upgraden, dann die templates reverten, dann auf die 3.6.10 upgraden, um in den Genuss dieser automatischen Templateänderungsfunktion zu kommen?

Nein, du lädst die Dateien zu 3.6.10 hoch, startest wie immer upgrade.php und klickst und klickst und klickst dich durch.

Das <input>-Tag für das Securitytoken wird dabei in alle Templates eingefügt, wo es rein muss.

Im Anschluss solltest du dann bei Styles & Templates überprüfen, ob es aktualisierte Templates gibt. Sollte es welche geben, sind in den Originaltemplates dazu Änderungen, die sich nicht auf das Securitytoken beziehen.

Jim
25.04.2008, 17:48
Hi Scott,

erstmal danke fuer die Antwort.


b)Ältere Versionen von vBulletin werden nicht auf Sicherheitslücken geprüft oder korrigiert.

Hm - das stimmt eigentlich nicht, wobei man "ältere" vielleicht unterschiedlich auslegen könnte. :)


c)... Für "ältere" Versionen hat es nie Patches gegeben.

Das stimmt m.E. auch nicht.

Siehe einfach mal http://www.vbulletin-germany.com/forum/showthread.php?t=27224
Zu dem Zeitpunkt gab es die vB Version 3.6.x, 3.5.x und 3.0.x und für die Version 3.6.x und 3.0.x gab's Updates/Patche um die Sicherheitslücke zu schliessen.
--> Es wurden auch ältere vB Versionen auf Fehler überprüft. Diese wurden korrigiert und es gab Updates/Patche.


Wie auch in der Veröffentlichung geschrieben, ist die Anzahl der Änderungen in dieser neuen Version so viel, dass wir mit einer Korrektur durch ein Patch in diesem Fall nicht helfen können.

OK - dazu weiß ich zu wenig darüber was man wo hätte verändern müssen, um auch die älteren vB Version wieder sicher(er) zu machen. Wahrscheinlich wäre es für ältere Versionen "zu viel" Aufwand, sodass es diese mal nicht gemacht wird. :(

Damit wäre meine Frage dann geklärt.


Das heisst dann ja, alle Kunden sollen upgraden.

Schade - dann war's das nach vielen Jahren wohl für mich mit vB. :( Mein 1&1 Managed Server hat gerade mal 256 MB RAM und wenn ich die Beiträge der letzten ~ 2 Jahre, bzgl. dem Ressourcenverbrauch von neueren vB Versionen richtig mitverfolgt habe, dann brauch ich ein Update wohl erst gar nicht versuchen. Anmerkung: Ja - ich weiß das soetwas bei neuer Software üblich ist. Was aber nicht heißt das soetwas (neue Version = mehr Ressourcenverbrauch) auch immer sein muß. ;)

Hm - mal sehen ob ich mir jetzt noch den Umzugsstreß auf einen neuen und ausserdem jetzt teureren 1&1 Server antue und ein ziemlich individuell angepaßtes Forum mit rund 100.000 Beiträgen umziehen. Das ist locker eine Arbeit von schätzungsweise 1 - 2 Wochen. :rolleyes:

Gruß Jim

Andreas
25.04.2008, 17:52
OK - dazu weiß ich zu wenig darüber was man wo hätte verändern müssen, um auch die älteren vB Version wieder sicher(er) zu machen. Wahrscheinlich wäre es für ältere Versionen "zu viel" Aufwand, sodass es diese mal nicht gemacht wird. :(

Korrekt. Du kannst Dir das aber auch selbst bauen - du musst lediglich alle PHP Dateien und alle Templates mit Formularen abändern, zusätzlich Code schreiben um das Token zu erzeugen und zu prüfen.

Alle nötigen Infos findest Du z.B. auf vBulletin-Germany.org

devafee
25.04.2008, 19:29
Mein Update hat problemlos funktioniert. Danke!

Thomas P
25.04.2008, 23:32
Das <input>-Tag für das Securitytoken wird dabei in alle Templates eingefügt, wo es rein muss.

Im Anschluss solltest du dann bei Styles & Templates überprüfen, ob es aktualisierte Templates gibt. Sollte es welche geben, sind in den Originaltemplates dazu Änderungen, die sich nicht auf das Securitytoken beziehen.

Ok, Danke.

Wundert mich, daß soviele Templates geändert wurden von 3.6.9 auf 3.6.10, daher die Frage.
Bei uns verdreifacht...
Aber ok, was muss, das muss.

redlabour
26.04.2008, 07:15
Irgendwas läuft mit 3.6.10 komplett falsch.

Nicht nur bei einigen wenigen Hacks kommt die Fehlermeldung sondern auch sporadisch bei immer wieder anderen User innerhalb von Standardfunktionen :

PM Versand - sporadisch
Antworten auf Beitrag - sporadisch
Reputationskommentar bei abschicken - wird dann aber dennoch eingetragen

etc. etc.

s.molinari
26.04.2008, 07:27
Das stimmt m.E. auch nicht.

Siehe einfach mal http://www.vbulletin-germany.com/for...ad.php?t=27224
Zu dem Zeitpunkt gab es die vB Version 3.6.x, 3.5.x und 3.0.x und für die Version 3.6.x und 3.0.x gab's Updates/Patche um die Sicherheitslücke zu schliessen.

Zu diesem Zeitpunkt war es auch möglich diese Versionen zu patchen und wir haben sie supportet und gepflegt damals. Das heisst, für uns waren diese Versionen "aktuell".

Dein Forum scheint einigermassen erfolgreich zu sein und das mit 265MB RAM. Respekt! (egal welche Version du hast;))

Aber ehrlich, wenn du nicht viele Benutzer gleichzeitig online hast, dann funktioniert alle vB Version auf deinem Server. Aber eine Upgrade deiner Hardware solltest du trotzdem in Erwägung ziehen. Das kann nur gut für deine Besucher sein.:)

Scott

s.molinari
26.04.2008, 07:32
Irgendwas läuft mit 3.6.10 komplett falsch.

Nicht nur bei einigen wenigen Hacks kommt die Fehlermeldung sondern auch sporadisch bei immer wieder anderen User innerhalb von Standardfunktionen :

PM Versand - sporadisch
Antworten auf Beitrag - sporadisch
Reputationskommentar bei abschicken - wird dann aber dennoch eingetragen

etc. etc.Hi red,

Das ist nicht sehr aussagekräftig. Bitte ein neues Thema im Fehlersuche Forum mit einer besseren Beschreibung des Fehlers.

Danke.

Scott

redlabour
26.04.2008, 07:39
Hi red,

Das ist nicht sehr aussagekräftig. Bitte ein neues Thema im Fehlersuche Forum mit einer besseren Beschreibung des Fehlers.

Danke.

Scott

Erledigt - aber noch besser lässt sich das schlicht nicht beschreiben. :(

klaush
29.04.2008, 16:07
Ich helfe mal aus:

=====

Missing or Invalid Security Token detected.

Script Call Backtrace
=====================
#0 /******/vbulletin/includes/functions.php line 2420: eval()
#1 /******/vbulletin/includes/init.php line 417: fetch_error(security_token_missing,ltr,sendmessage.php?)
#2 /******/vbulletin/payment_gateway.php line 38: require_once(/******/vbulletin/includes/init.php)

POST Variables
==============
Array
(
[payment_date] => 07:11:28 Apr 29, 2008 PDT
[txn_type] => web_accept
[last_name] => prüfe
[residence_country] => DE
=> Teilnahmegebühr Abonnement
[payment_gross] =>
[mc_currency] => EUR
=> *******@t-online.de
[payment_type] => instant
[verify_sign] => AXelImSx3dY080UqKOhoAH8JlYooikjjuzhgggVwXnOJonZigox3vjvSf
[payer_status] => unverified
[tax] => 0.00
[payer_email] => *********@t-online.de
[txn_id] => 95M865433LV811263S
[quantity] => 1
[receiver_email] => *******@t-online.de
[first_name] => juhu
[payer_id] => *********
[receiver_id] => *********
[item_number] => e9c2b483ce148f8cea516984023437b5
[payment_status] => Completed
[payment_fee] =>
[mc_fee] => 0.64
[shipping] => 0.00
[mc_gross] => 15.00
[custom] => testuser
[charset] => windows-1252
[notify_version] => 2.4
[do] =>
[securitytoken] =>
)

Request URI
===========
[B][I]/vbulletin/payment_gateway.php?method=paypal


=========================


Missing or Invalid Security Token detected.

Script Call Backtrace
=====================
#0 /******/vbulletin/includes/functions.php line 2420: eval()
#1 /******/vbulletin/includes/init.php line 417: fetch_error(security_token_missing,ltr,sendmessage.php)
#2 /******/vbulletin/global.php line 20: require_once(/******/vbulletin/includes/init.php)
#3 /******/vbulletin/search.php line 47: require_once(/******/vbulletin/global.php)

POST Variables
==============
Array
(
[do] => process
[quicksearch] => 1
[childforums] => 1
[exactname] => 1
[s] =>
[securitytoken] => c1c6203a709a018f4f908db383c6b8a19e64211c
[query] => 2,8/105 porträt
[showposts] => 0
)

Request URI
===========
/vbulletin/search.php?do=process

==============

Für mich nicht nachvollziehbar, zumal es sich um vb-Standardfunktionen handelt.

Und ich bin sicher, dass dies kein Einzelfall ist, allerdings wohl auch nur von denen bemerkt wird, die das Script von Andreas installiert haben.

Sorry, ich weiss die Arbeit der Entwickler durchaus zu schätzen, aber der Schnellschuss, der hier generiert wurde, ist nicht akzeptabel für Produktivboards, die vielleicht auch noch Geld verdienen müssen.

LoC
29.04.2008, 17:50
Also ich habe ein Forum mit immerhin 700 Beiträgen und 200 Online-Usern pro Tag und mir wurde kein einziger Fehler seit dem Update auf 3.6.10 gemeldet.
Vielleicht liegts doch eher an nicht richtig hochgeladen Dateien / modifizierten Templates?

Andreas
29.04.2008, 19:06
@klaush
payment_gateway.php => Sich dass die Daten definitiv 3.6.10 ist?
search.php => Alle Templates geprüft in denen diese aufgerufen wird?
vBAdvanced CMPS z.B. bracuht diesbezüglich ein Update.

Ein Schnellschuss ist 3.6.10 IMHO sicherlich nicht
Die Gefahr durch CSRF ist real - und nicht nur theoretischer Natur.

klaush
29.04.2008, 19:13
@klaush
payment_gateway.php => Sich dass die Daten definitiv 3.6.10 ist?


Yep, Andreas...



search.php => Alle Templates geprüft in denen diese aufgerufen wird?


Templates ja, aber ich habe jetzt einmal alle Styles bis auf einen deaktiviert, damit wir etwas einkreisen können.



vBAdvanced CMPS z.B. bracuht diesbezüglich ein Update.


CMPS-Update ist gefahren worden.



Ein Schnellschuss ist 3.6.10 IMHO sicherlich nicht
Die Gefahr durch CSRF ist real - und nicht nur theoretischer Natur.

O.k., ich gebe zu, dieser Satz entsprang ein wenig meiner Erregung. Drei Boards auf dem Laufenden zu halten ist momentan schlimmer, als einen Sack Flöhe zu hüten!

Andreas
29.04.2008, 19:17
Ich habe in den letzen Tage ca. 40 Boards geupdated (wobei das noch nicht das Ende der Fahnenstange ist).
Alles eine Frage der Organisation :D

Du bist dir sicher dass payment_gateway.php 3.6.10 ist - hast Du das trotzdem noch einmal überprüft?

jbaums
29.04.2008, 19:23
... finde ich, dass entgegen der Ankündigung:
"Auch Ihre veränderten Templates werden automatisch aktualisiert. Dabei bleiben alle Ihre Änderungen erhalten." ... nicht stimmt. Sie wurden geändert und ich musste diese wieder anpassen.

Außerdem werden die images überschrieben. Also geänderte Icons etc. wieder neu hochladen. Ist doch unnötig!

Außerdem ist meine horizontale Navi oben über dem Forum auch wieder auf den Standard gesetzt und ich darf diese neu konfigurieren.

So was MUSS man vorher gesagt bekommen.:mad:

Dominik Ziegler
29.04.2008, 19:25
So was MUSS man vorher gesagt bekommen.:mad:

Müssen müssen die gar nichts (außer vielleicht die deutsche Gold der 3.7 releasen ^^). Sei doch lieber froh, dass dein Forum sicher gegen diese Attacken ist.
Je mehr ein Forum mit Modifikationen ausgestattet ist, desto schwieriger ist ein Update. Da hilft auch kein schwuppdiwupp-"alles ist aktualisiert"-Script, das muss man dann halt per Hand machen. Das sollte einem das eigene Forum aber auch dann Wert sein.

Andreas
29.04.2008, 19:30
... finde ich, dass entgegen der Ankündigung:
"Auch Ihre veränderten Templates werden automatisch aktualisiert. Dabei bleiben alle Ihre Änderungen erhalten." ... nicht stimmt. Sie wurden geändert und ich musste diese wieder anpassen.

Die Aussage ist so aber korrekt?
vBulletin 3.6.10 ist AFAIK die erste Version in der Geschichte von vBuletin die überhaupt etwas an veränderten Templates aktualisiert - und das ist lediglich das fehlende Security Token.
Alles andere bleibt defintiv erhalten (es sei denn du hast MASTER Templates verändert - das ist dann natürlich was anderes).



Außerdem werden die images überschrieben. Also geänderte Icons etc. wieder neu hochladen. Ist doch unnötig!

Korrekt - das ist unnötig.
Daher gibt es auch ein Paket ohne Grafiken.
Wenn Du natürlich das mit Grafiken verwendest und dann auch noch die Standard-Grafiken überschrieben hast anstatt (wie es korrekt wäre) einen eigenen Ordner dafür anzulegen - tja, dann ist das dein Fehler ;).



Außerdem ist meine horizontale Navi oben über dem Forum auch wieder auf den Standard gesetzt und ich darf diese neu konfigurieren.

S.o. - vBulletin ändert an deinen Templates nichts (außer dass das fehlende Token hinzugefügt wird).

klaush
30.04.2008, 10:04
Ja habe ich, Andreas.

Mittlerweile sieht es wohl so aus, dass 3 Styles nicht kompatibel sind.

Wir warten jetzt auf die 3.7; alles neu macht der Mai.:cool:

Trotzdem danke für Deine Unterstützung!



Du bist dir sicher dass payment_gateway.php 3.6.10 ist - hast Du das trotzdem noch einmal überprüft?