Release von vBulletin 3.0.4!

Naja, das war wohl eher wegen der Sicherheitslücke. Die init.php ist eingespielt

Viele Grüße
hj

Bist Du .com-Kunde, oder wie kommst Du schon an die neueste .init.php?

mfg

Nee, ich bin .de Kunde. Die init.php kann man aus dem Ankündigungsthread runterladen. Das geht auch für .de Kunden.

Viele Grüße
hj

Ups...stimmt ja! init.php ist - mal wieder - auf dem neuesten Stand!

mfg

Es kann einfach nicht angehen, dass so kurz nach einem Release, der alle Löcher stopfen sollte, schon wieder eine Version erscheint die ein kritisches Loch stopft und ausserdem noch ne Menge Fehler behebt die die vorherige Version erst geschaffen hat.

Aber irgendwann sollte ich es wohl mal lernen

Was regst du dich denn so auf?
Ist doch gut, wenn man gleich noch ein paar Bugs mit fixen kann. Wenn man schon 3.0.5 rausbringen muss.

gut, daß ich mittlerweile erfahren genug bin immer erst ein wenig zu warten bevor ich das upgrade mache
aber anscheinend war es doch ne größere Sicherheitslücke, wenn man den neuesten E-Bulletin beachtet.

Auch bei uns wurden aus sicherheitsgründen alle PWs geändert...

Gut Daniel, ich kann MrNase aber auch verstehen:
Es gibt genügend Versionen, bei denen man die Templates anpassen, evtl. Hacks wieder eingebaut werden müssen usw.
Jetzt hast du gerade alles hinter dir und dann kommt die nächste Version. Jetzt darf man dann wieder alles anpassen.
Sicherlich hat auch diese Vorgehensweise 2 Seiten, keine Frage

ja aber deswegen kann man doch keinen einem vorwurf machen.
hackz gehören nunmal nichts zum vb.
bei mir dauert ein update keine 4minuten. da ich keine hackz verbaut habe. mich stört es gar nicht. ich finde es gut das die so schnell reagieren.

ob es aber schlampig war die 3.0.4 auf den markt zu bringen, und dort die fehler nicht zu erkennen, kann ich nicht beurteilen.

Ich denke nicht das es schlampig war. Manchmal glaube ich, das einige Leute mit ihren Security Reports abwarten bis ne neue Version draussen ist, um noch mal einen reinzuwürgen. Aber so ist das Leben halt...

so, nun gibts 306

.....

Lieber zu viele Updates als zu wenige...

.....

Ich habe jetzt innerhalb von kurzer Zeit 3 Updates machen müssen von der jedes als 'wichtig' eingestuft wurde.. Jelsoft sollte sich mal jemanden leisten der die Software auf Sicherheitslücken überprüft.
Es kann einfach nicht sein, dass ein Kunde dazu gezwungen wird die offensichtlichen Versäumnisse durch ein Update auszubügeln. Warum konnte die 3.0.3 nicht schon sicher sein?

Es will mir nicht in den Kopf und meine Unmut wächst zunehmend.

un nun 3.0.6 langsam kotzt es mich ehrlich gesagt auch an

Software wird nie sicher sein. Punkt.

Du kannst noch so intensiv nach Sicherheitslöchern suchen, du wirst immer welche übersehen, oder es werden neue, durch den Fortschritt bedingte Löcher entdeckt. Vor 2 Jahren wusste auch noch keiner das es mal HTTP Response Splitting attacks geben wird. Dann solche Löcher, die bedingt durch Bugs in PHP sind (z.B. der letzte Bug mit dem NUL-Byte).

Wenn ich aber Code sehe, der die Variablen nicht validiert (phpBT ist so ein Beispiel) und bei register globals total offen ist, dann kann man sagen das die Programmierer keine Ahnung von Sicherheit haben.

Mich kotzt es aber an, wenn Leute lauthals schreien "Ihr habt keine Ahnung von Sicherheit", "Your software was not build with security in mind"... diese nonsense-Kommentare kommen meist von denen die keine Ahnung von dem haben was heutzutage an Attacken möglich ist, wie verwurzelt es sein kann... Sicherheit in PHP-Produkten ist nicht mit einem intval() gewährleistet, es gehört mehr dazu, und genau so sind entdeckte Lücken in vB, IPB, phpBB etc. auch meist nicht ein simples: "Hey, da ist ein $_GET['id'] in sql query" - sowas sollte heutzutage überhaupt nicht mehr auftauchen.

<rant over />

Mich störts ehrlich gesagt überhaupt net, ich spiels nacher kurz drauf, dauert ja keine 5 Minuten.

Die sollen lieber einmal zu viel nen Update rausbringen als einmal zu wenig.

Das ist richtig aber naja habe auch wenig probs gerade weil cih kaum hacks drinne habe aber einige anpassungen werde ich wohl doch machen müssen.

Das gute ist: Einspielen der Security Patches geht flott über upload jeweils einer Datei. Zeitaufwand tendiert gegen null

Wann der upgrade zu 3.0.x passieren soll kann jeder selbst entscheiden.

So, die 3.0.7 ist da..

http://www.vbulletin.com/forum/showthread.php?t=130591

Ich würde mit einem Update wieder ein paar Tage warten und bis dahin die Option 1 für das Sicherheitsloch wählen ...

Aber die Funktion dürften eh nur wenige Leute aktiv haben.

Das ganze auf Deutsch:
-> http://www.vbulletin-germany.com/for...ad.php?t=15961

Zumindest reagiert Jelsoft recht schnell, mehr können sie eh nicht machen. Und die Kunden haben ja - doch mehr als gedacht - Fehler aus der Software draussen.