[querschlaeger]

https://www.mybb.de/forum/thread-10972.html

Da ist der Theard, 1.4.2

Aber als Akteullste wird noch immer 1.4.11 angezeigt. So meinte ich das. Sorry war vroher nur etwas gestresste und hab einfach in die Tasten gehauen

LG

Hi,
also bei mir is 2 kleiner (also älter) als 11...

[Namenloser]

Achja

Ist ganz schön verwirrend mit den Zahlen. Ich dachte 1.4.20 ( also 20 ).

Aber OK, sorry für das mißverständnis

LG

[Michael Malin]

Mit MyBB 1.4.2 ist sozusafen MyBB 1.4.02 gemeint. Bei Versionsnummern werden keine Nullen gespart.

[frostschutz]

1.4.20 gibt es und wird es auch nicht geben. Es soll noch MyBB 1.4.12 geben und dann kommt 1.6.

Ist noch lange nicht gesagt, ursprünglich sollte ja 1.4.10 die letzte Version sein.

Gestern habe ich mal wieder was neues über PHP gelernt. Daß man in Strings "{$variable}" benutzen kann weiß ja jeder. Daß dort anstelle von Variablen auch beliebiger anderer Code ausgeführt werden kann, war mir neu.

Vor einem Monat wurde das als MyBB-Sicherheitslücke im Internet öffentlich gemacht, ich bin per Zufall mit Google darüber gestolpert. Habe es sicherheitshalber mal an die Entwickler weitergegeben, natürlich mit Lösungsvorschlag, und es kam das übliche freundliche "It's not a vulnerability. [...] It's just stupid crap..." zurück. Da freut man sich dann natürlich drüber.

Klar, die Templates kann man nur als Admin editieren. Aber daß ein kleiner Admin, bei dem alle Permissions auf No stehen, bis aufs Template-System, sich dann zum Superadmin erklären kann, auf dem Server PHP-Dateien erzeugen kann, und vollen Zugriff auf die Datenbank hat, das war dann vielleicht doch nicht ganz im Sinne des Erfinders.

Aber die Entwickler wollen davon nichts wissen. Ist nicht das erste Mal, das eine von mir gemeldete Sicherheitslücke so ernst genommen wird.

[Namenloser]

@ Prostschutz, den "super"Admin Bug kenne ich. PS4fan, einer unserer Partner, wird oft gehackt von einer Person dessen name ich hier jetzt nicht erwähnen möchte. Der hat alle User gebannt gehabt und alle theards gelöscht ! Denn Fehler wollte ich auch schon melden doch ich wusste ja nicht wo genau der Fehler ist !

[Michael Malin]

@ Prostschutz, den "super"Admin Bug kenne ich. PS4fan, einer unserer Partner, wird oft gehackt von einer Person dessen name ich hier jetzt nicht erwähnen möchte. Der hat alle User gebannt gehabt und alle theards gelöscht ! Denn Fehler wollte ich auch schon melden doch ich wusste ja nicht wo genau der Fehler ist !

Falsch. Der User hat ausgenutzt, das er ein Passwort wusste, das in einem anderem Projekt das selbe ist.

[Namenloser]

Nur das das Forum nur eines von vielen ist das ich kenne die gehackt wurden ! Und ich glaube wohl kaum das diese Person die Admin Pws von über 4 Borads kennt. Das ist ja auch immer ein und die gleiche Person doch ich will hier trozdem neimanden beschuldigen, da ich selber damit ja keine erfahrung habe und immer nur die vorurteile höre wer es war und diese urteile überall scheinbar gleich sind.

[Michael Malin]

Ich weiß genau, wer es bei PS4Fan war, und wie er das gemacht hat. Gehören die Projekte der gleichen Person? Oder ist diese Person da auch Admin/Mod?

[StefanT]

Ist noch lange nicht gesagt, ursprünglich sollte ja 1.4.10 die letzte Version sein.

Deshalb "soll", MyBB 1.4.20 wird aber sicher nicht erreicht.

Ich verstehe auch nicht, was da die Sicherheitslücke sein soll...

[Michael Malin]

Ist noch lange nicht gesagt, ursprünglich sollte ja 1.4.10 die letzte Version sein.

Deshalb "soll", MyBB 1.4.20 wird aber sicher nicht erreicht.

Ich verstehe auch nicht, was da die Sicherheitslücke sein soll...

Nach diesem Konzept wäre die Benutzergruppe Administratoren und jeder Superadmin eine Sicherheitslücke.