Vor wenigen Stunden wurde eine Sicherheitslücke in der aktuellen Version des MyBB gefunden, woraufhin die MyBB Group ein Sicherheitsupdate für die 1.1.x-Serie des MyBB herausgegeben hat. Durch eine ungültige Anfrage ist SQL-Injektion möglich.
Wir empfehlen allen Benutzern das Update schnellstmöglich durchzuführen!
Das Gesamtpaket des MyBB wurde ebenfalls auf die neue Version 1.1.6 aktualisiert.
Aktualisierung von MyBB 1.1.5 mit geänderten Dateien (Empfohlen)- Laden Sie das Paket mit den geänderten Dateien herunter
- Laden Sie die neuen Dateien auf Ihren Server und ersetzen Sie die vorhandenen
- Überprüfen Sie die Versionsnummer im Admin-CP
Manuelle Aktualisierung von MyBB 1.1.5- Laden Sie die Anleitung für das manuelle Update herunter
- Führen Sie die Änderungen entsprechend der Anleitung durch und laden Sie die aktualisierten Dateien wieder auf den Server
Aktualisierung von vorigen Versionen- Laden Sie die aktuelle Version MyBB 1.1.6 als Komplettpaket herunter und führen Sie ein Upgrade durch (weitere Informationen finden Sie im Ordner docs/upgrade.html).
Betroffene Dateien
Auch ich bedanke mich ...
LG, Elke!
Das muß mir mal einer erklären.
Ich habe das im Text gefunden:
1. inc/functions.php
--------------------
Find:
--
return $ip;
--
Replace with:
--
return addslashes($ip);
--
Bei meiner 1.1.5 ist das schon geändert gewesen.
Dort steht: return addslashes($ip):
Lediglich die Versionsnummer ist noch 1.1.5
Installiert am 9.07.2006 und nichts an Sicherheit geändert.
Also brauche ich da ja nun auch nichts machen.
Wenn dem so ist, ist der Fehler nicht vor kurzem entdeckt worden, sondern zumindest schon am 9.07.2006 bekannt gewesen, sonst hätte ich ja keine bereits aktualisierte Version installieren können, oder?
Zitat:Wenn dem so ist, ist der Fehler nicht vor kurzem entdeckt worden, sondern zumindest schon am 9.07.2006 bekannt gewesen, sonst hätte ich ja keine bereits aktualisierte Version installieren können, oder?
Das kommt mir komisch vor !
Ich habe bis jetzt immer die Updates gleich instaliert (manuell),
aber bei mir war das nicht bereits da !
Aber gut, haupsache Update !
*EDIT*
Hast du das MyBB 1.1.5 Komplett neu installiert ?
Dann kann es sein das da dieser Fehler schon behoben war !
Bin aber nicht sicher !
bis gli...
greetz DaStaFlexX
Ja komplett neu installiert das 1.1.5 und schon drin.
Nur die Versionsinfo war immer noch 1.1.5
Ich habe im Moment keine Erklärung dafür, werde bei Gelegenheit mal Chris fragen. Bisher hat sich aber in der englischen Community niemand gemeldet, bei dem es auch schon gefixt war.
Ich habe natürlich etwa 20 Spiele installiert, Arcade in den letzten Tagen.
Aber die tauschen ja wahrscheinlich nicht die function.php aus, oder?
Verschiedene Mods auch, so ziemlich alle die es gibt.
Vielleicht ist dabei eine neue function.php installiert worden.
Kann ich mich jetzt aber nicht mehr dran erinnern.
garfield schrieb:Ich habe natürlich etwa 20 Spiele installiert, Arcade in den letzten Tagen.
Aber die tauschen ja wahrscheinlich nicht die function.php aus, oder?
Verschiedene Mods auch, so ziemlich alle die es gibt.
Vielleicht ist dabei eine neue function.php installiert worden.
Kann ich mich jetzt aber nicht mehr dran erinnern.
Rein persönlich würde ich sagen, das alle anderen Programme die Finger gefälligst von der function.php zu lassen haben, wie überhaupt von allen Grundscripten von MyBB - sonst wäre ja Schadcode Tür und Tor geöffnet....
MfG
Eugenie
Hallo Eugenie,
Ich selbst Modde mein Forum oder bin dabei einen mod zu schreiben welcher auch in die functions.php eingreift.
Warum sollte man die finger von der functions.php lassen? Solange man sicheren Code verwendet kann nichts passieren. Unter sicheren Code verstehe ich, dass man funktionen verwendet die exploits in den erweiterten Teil nicht zulassen. Richtige Programmierer, oder die die Ahnung von dem haben was sie machen arbeiten in der Hinsicht normal auch Sicherheitsorientiert. Daher kann ich dir nicht zustimmen das man grundsätzlich nichts verändern darf, oder soll.
Mfg Garlant