Info Wichtige Updates Xenforo Sicherheits Patches - für ALLE Xenforo Versionen!

Dieses Thema im Forum "XenForo News Forum" wurde erstellt von otto, 30. August 2016.

  1. otto

    otto AD Lizenznehmer

    2.683
    1.082
    7. Juli 2015
    LW-Meister
    Leipzig
    Eben sind auf XenForo.com einige wichtige Sicherheitsfixes und Updates erschienen - es wird dringend zur Aktualisierung geraten!

    Link zum Original Beitrag: XenForo 1.5.10 Released (Includes Security Fix)
    Link zum Patch für Xenforo 1.5.x bis .9: https://xenforo.com/community/attachments/xf_patch_1510-zip.140053/

    Alle Infos:
    Sicherheitspatch: es wird ein Server-Side Request Forgery (SSRF) gefixt.
    Die Sicherheitslücke kann von einem Angreifer ausgenutzt werden die Server seitige Firewall zu umgehen und interne Anfragen auszuführen. Je nach dem welche Services dabei vom Angreifer gefunden werden, kann dieser dann die Privilegien erlangen Schadcode auszuführen.

    Daher ist dies ein Potenzieller Sicherheitsfehler, und es werden ALLE Xenforo Nutzer gebeten umgehen den Patch einzuspielen bzw. auf die aktuellste Version zu aktualisieren.


    Falls du XenForo 1.4.x laufen hast, bitte schau hier 1.4.13 announcement für den passenden Patch. Wenn du XenForo 1.3.x oder älter laufen hast, solltest du umgehend auf XenForo 1.4.x oder 1.5.x aktualisieren um den Fehler zu beheben.

    Hast du außerdem XenForo Media Gallery 1.0 laufen, solltest du den Anweisungen unter XFMG 1.0.10 release announcement folgen um einen Patch einzuspielen.
    Hast du XenForo Media Gallery 1.1.0 bis 1.1.4 laufen, musst du auf die aktuelle Version aktualisieren.
    XenForo Media Gallery 1.1.5+ wird automatisch mit gefixt durch die folgenden Schritte:

    Methode 1: Upgrade auf die neuste Version (empfohlen)
    Customer Login | XenForo
    Aktualisiere auf XenForo 1.5.10 (oder jede neuere Version) um den Fehler zu beheben. Du kannst das Update wie jedes andere XenForo Update einspielen.
    Wenn du das so machst, dann brauchst du NICHT den separaten Patch Methode 2, einzuspielen.

    Methode 2: Installiere den Patch (für XF 1.5.x bis 1.5.9 Nutzer)
    https://xenforo.com/community/attachments/xf_patch_1510-zip.140053/
    Downloade den Patch (Link 2 zur Zip Datei, ganz oben im Thema). Das Zip-Paket enthält 4 Dateien:
    • library/XenForo/BbCode/Formatter/BbCode/AutoLink.php
    • library/XenForo/Helper/Http.php
    • library/XenForo/Helper/Url.php
    • library/XenForo/Model/ImageProxy.php
    Diese 4 Dateien müssen auf deinen Server aufgespielt werden, wobei bereits bestehende Dateien überschrieben werden.

    Beachte, das es über den Patch keine sichtbare Anzeige gibt, die anzeigt das das Forum gepatcht wurde.


    Außerdem wurde folgendes gefixt:

    • Add several language code/locale options for pages.
    • Fix a situation where white space may not be maintained 100% when pasting code/pre-formatted into the rich text editor.
    • Add a 1000 user limit to ignoring to prevent potential errors.
    • Ensure that poll resetting/deleting is logged correctly.
    • Automatically adjust uploaded image extensions to match their type (rather than throwing an error).
    • Change NoCaptcha requests to POST to prevent a possible regular expression failure.
    • Fix an issue with automatic vendor prefixing in the CSS when using @supports.
    • Fix a timezone related issue when displaying stats output.
    • Adjust the meta description of member profiles to handle missing components better.
    • Prevent an error in the phpBB 3.1 importer relating to timezones.
     
    au lait und Terror gefällt das.
  2. otto

    otto AD Lizenznehmer

    2.683
    1.082
    7. Juli 2015
    LW-Meister
    Leipzig
    So, Forum 1 ist aktualisiert, 2 und 3 folgen jetzt... :)

    Edit - 2 Foren aktualisiert, eines gepatcht. Ging schnell und problemlos wie gewohnt, nur ein Template wollte angepasst werden. :like
     
    Zuletzt bearbeitet: 30. August 2016
    au lait gefällt das.
  3. au lait

    au lait Administrator Lizenznehmer

    1.888
    925
    7. Juli 2015
    Singen
    so alle Foren, wie immer ohne Probleme, aktualisiert ;)
     
    otto gefällt das.
  4. otto

    otto AD Lizenznehmer

    2.683
    1.082
    7. Juli 2015
    LW-Meister
    Leipzig
    Wie? Heute erst? :D ;)
     
  5. au lait

    au lait Administrator Lizenznehmer

    1.888
    925
    7. Juli 2015
    Singen
    ja gestern war ich den ganzen Tag ohne Internet bin doch umgezogen ;(
     
OK Mehr Informationen

Diese Seite verwendet Cookies. Mit Deinem Klick auf OK, stimmst Du dem setzen von Cookies zu. Andernfalls werden keine gesetzt, was die Funktionalität einschränkt.