27.06.2006, 17:36
Die MyBB Group hat soeben MyBB 1.1.5, ein Sicherheitsupdate für die MyBB 1.x Serie, freigegeben. Behoben werden Sicherheitslücken mit hohem Risiko, die die Versionen 1.0 PR2 bis 1.1.4 betreffen.
Da zur Zeit leider immer wieder neue Sicherheitslücken im Code des MyBB gefunden wurden, hat die MyBB Group eine softwarebasierte Codeüberprüfung durchgeführt, die potenzielle Möglichkeiten für SQL-Injektion, Cross-Site-Scripting und allgemeine Probleme aufzeigt. Es wurden diverse Warnungen für den Code von MyBB 1.1.4 ausgegeben, die durch diesen sofort veröffentlichten Patch geschlossen werden. Ab jetzt wird der Code der Forensoftware vor jeder neuen Version durch diese Software überprüft.
MyBB 1.1.5 schließt außerdem Lücken, die der MyBB Group von Dritten gemeldet wurden.
Das Komplettpaket auf der Haupseite wurde ebenfalls auf Version 1.1.5 aktualisiert.
Wie bei der Sicherheitslücke, die in MyBB 1.1.4 behoben wurde, besteht auch hier die Gefahr, dass Skripte geschrieben werden um Foren anzugreifen. Daher sollte das Forum schnellstmöglich aktualisiert werden.
Chris Boulton (Chefentwickler des MyBB): "It does truly sadden me to see this happen to our product - people's installations being compromised by "script kiddy" and hacking groups where destroying other peoples property is considered fun. Hopefully things will calm down - and I am sorry, personally, for once again having to release another patch for MyBB."
Wir empfehlen allen Benutzern das Update schnellstmöglich durchzuführen!
Behobene Sicherheitslücken
Aktualisierung von MyBB 1.1.4 mit geänderten Dateien (Empfohlen)
Manuelle Aktualisierung von MyBB 1.1.4
Aktualisierung von vorigen Versionen
Betroffene Dateien
Da zur Zeit leider immer wieder neue Sicherheitslücken im Code des MyBB gefunden wurden, hat die MyBB Group eine softwarebasierte Codeüberprüfung durchgeführt, die potenzielle Möglichkeiten für SQL-Injektion, Cross-Site-Scripting und allgemeine Probleme aufzeigt. Es wurden diverse Warnungen für den Code von MyBB 1.1.4 ausgegeben, die durch diesen sofort veröffentlichten Patch geschlossen werden. Ab jetzt wird der Code der Forensoftware vor jeder neuen Version durch diese Software überprüft.
MyBB 1.1.5 schließt außerdem Lücken, die der MyBB Group von Dritten gemeldet wurden.
Das Komplettpaket auf der Haupseite wurde ebenfalls auf Version 1.1.5 aktualisiert.
Wie bei der Sicherheitslücke, die in MyBB 1.1.4 behoben wurde, besteht auch hier die Gefahr, dass Skripte geschrieben werden um Foren anzugreifen. Daher sollte das Forum schnellstmöglich aktualisiert werden.
Chris Boulton (Chefentwickler des MyBB): "It does truly sadden me to see this happen to our product - people's installations being compromised by "script kiddy" and hacking groups where destroying other peoples property is considered fun. Hopefully things will calm down - and I am sorry, personally, for once again having to release another patch for MyBB."
Wir empfehlen allen Benutzern das Update schnellstmöglich durchzuführen!
Behobene Sicherheitslücken
- Potenzielles Cross-Site-Scripting über den http://-Tag - betrifft MyBB 1.0 RC2 und ...b Security)
- Potenzielle SQL-Injection im Archiv-Modus auf Servern mit register_globals = On (imei Web Security)
- Potenzielle Benutzergruppenmanipulation (makpaolo)
- Andere potenzielle Lücken für SQL-Injektion (Interne Codeüberprüfung, bestätigt von DCoder)
Aktualisierung von MyBB 1.1.4 mit geänderten Dateien (Empfohlen)
- Laden Sie das Paket mit den geänderten Dateien herunter
- Laden Sie die neuen Dateien auf Ihren Server und ersetzen Sie die vorhandenen
- Überprüfen Sie die Versionsnummer im Admin-CP
Manuelle Aktualisierung von MyBB 1.1.4
- Laden Sie die Anleitung für das manuelle Update herunter
- Führen Sie die Änderungen entsprechend der Anleitung durch und laden Sie die aktualisierten Dateien wieder auf den Server
Aktualisierung von vorigen Versionen
- Laden Sie die aktuelle Version MyBB 1.1.5 als Komplettpaket herunter und führen Sie ein Upgrade durch (weitere Informationen finden Sie im Ordner docs/upgrade.html).
Betroffene Dateien
- archive/global.php
- inc/class_core.php
- inc/class_session.php
- inc/functions.php (Änderung der Versionsnummer)
- inc/functions_post.php
- inc/functions_upload.php
- editpost.php
- newreply.php
- usercp.php