15.12.2012, 11:34
(15.12.2012, 11:19)pcworld schrieb: [ -> ]Ich hoffe mal, das mit der SQL-Injection ist ein Witz... o.OWarum sollte das ein Witz sein?
Bei der Sicherheit machen wir keine Scherze. Bei der Sicherheit machen wir keine Scherze.15.12.2012, 11:41
(15.12.2012, 11:34)StefanT schrieb: [ -> ]Warum sollte das ein Witz sein?
Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.
Aber trotzdem danke an die, die es gefunden und gefixt haben
Kleines Feedback bezüglich eines Sicherheitsupdates solcher Priorität:
Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.
So kann man sich vorbereiten, das Update innerhalb weniger Minuten einspielen und hoffen, dass niemand die Sicherheitslücke nach dem Release ausnutzen konnte.
Da ich sicher nicht der einzige bin, der danach gesucht hat, hier der Patch für die editpost.php:
Code:
--- editpost.php 2012-05-27 12:00:10.000000000 +0200
+++ editpost.php 2012-12-12 13:33:00.000000000 +0100
@@ -6,7 +6,7 @@
* Website: http://mybb.com
* License: http://mybb.com/about/license
*
- * $Id: editpost.php 5746 2012-02-03 10:03:25Z Tomm $
+ * $Id$
*/
define("IN_MYBB", 1);
@@ -393,14 +393,13 @@
if($forumpermissions['canpostattachments'] != 0)
{ // Get a listing of the current attachments, if there are any
$attachcount = 0;
+ $posthash_query = '';
+
if($posthash)
{
- $posthash_query = "posthash='{$posthash}' OR ";
- }
- else
- {
- $posthash_query = "";
+ $posthash_query = "posthash='".$db->escape_string($posthash)."' OR ";
}
+
$query = $db->simple_select("attachments", "*", "{$posthash_query}pid='{$pid}'");
$attachments = '';
while($attachment = $db->fetch_array($query))Hier noch das komplette diff zwischen 1608_de und 1609_de: http://pastebin.com/09yENFvC
15.12.2012, 11:56
15.12.2012, 12:01
15.12.2012, 12:15
(15.12.2012, 11:41)pcworld schrieb: [ -> ]Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.
Ist nicht die erste - wird auch nicht die letzte sein...
Besonders bei den Plugins (auch von der mybb mods Seite) gibts solche Sachen immer wieder.
MyBB ist halt leider zu alt, um durchgehend mit prepared statements zu arbeiten, wo sowas nicht passieren kann.
(15.12.2012, 11:41)pcworld schrieb: [ -> ]Aber trotzdem danke an die, die es gefunden und gefixt haben
Bitte immer wieder gerne
15.12.2012, 12:17
15.12.2012, 12:18
Kein Denkfehler!
Du müsstest nur die messages.lang.php noch für die deutschen Sprachverzeichnisse aktualisieren, weil diese in dem Paket nicht enthalten sind.
Edit: solltest Du Dein Admin-Verzeichnis geändert haben musst Du das auch entsprechend berücksichtigen.
Du müsstest nur die messages.lang.php noch für die deutschen Sprachverzeichnisse aktualisieren, weil diese in dem Paket nicht enthalten sind.
Edit: solltest Du Dein Admin-Verzeichnis geändert haben musst Du das auch entsprechend berücksichtigen.
15.12.2012, 12:40
15.12.2012, 12:50
15.12.2012, 12:52
EDIT: Jockl war schneller 
Bei der Meldung daß der Username schon besetzt ist gibts jetzt einen Link zum Login-Formular
Ist jetzt nichts umwerfend wichtiges...
Bei der Meldung daß der Username schon besetzt ist gibts jetzt einen Link zum Login-Formular
Code:
-$l['error_usernametaken'] = "The username you have chosen is already registered.";
+$l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>.";Ist jetzt nichts umwerfend wichtiges...