[StefanT]

Ich hoffe mal, das mit der SQL-Injection ist ein Witz... o.O

Warum sollte das ein Witz sein? Bei der Sicherheit machen wir keine Scherze.

[pcworld]

Warum sollte das ein Witz sein? Bei der Sicherheit machen wir keine Scherze.

Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.
Aber trotzdem danke an die, die es gefunden und gefixt haben

Kleines Feedback bezüglich eines Sicherheitsupdates solcher Priorität:
Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.
So kann man sich vorbereiten, das Update innerhalb weniger Minuten einspielen und hoffen, dass niemand die Sicherheitslücke nach dem Release ausnutzen konnte.

---

Da ich sicher nicht der einzige bin, der danach gesucht hat, hier der Patch für die editpost.php:

Code:

--- editpost.php    2012-05-27 12:00:10.000000000 +0200
+++ editpost.php    2012-12-12 13:33:00.000000000 +0100
@@ -6,7 +6,7 @@
  * Website: http://mybb.com
  * License: http://mybb.com/about/license
  *
- * $Id: editpost.php 5746 2012-02-03 10:03:25Z Tomm $
+ * $Id$
  */

define("IN_MYBB", 1);
@@ -393,14 +393,13 @@
    if($forumpermissions['canpostattachments'] != 0)
    { // Get a listing of the current attachments, if there are any
        $attachcount = 0;
+        $posthash_query = '';
+
        if($posthash)
        {
-            $posthash_query = "posthash='{$posthash}' OR ";
-        }
-        else
-        {
-            $posthash_query = "";
+            $posthash_query = "posthash='".$db->escape_string($posthash)."' OR ";
        }
+
        $query = $db->simple_select("attachments", "*", "{$posthash_query}pid='{$pid}'");
        $attachments = '';
        while($attachment = $db->fetch_array($query))

Hier noch das komplette diff zwischen 1608_de und 1609_de: http://pastebin.com/09yENFvC

[StefanT]

Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.

So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit.
Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar.

[pcworld]

So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit.

Genau deswegen könnte man die Ankündigung auch erst dann abschicken, wenn das Release intern zu 100% fertiggestellt wurde. Nach dem Vorbild von diesem Pre-Release Announcement for MediaWiki.

Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar.

Das ist jetzt wie zu verstehen?

[frostschutz]

Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.

Ist nicht die erste - wird auch nicht die letzte sein...

Besonders bei den Plugins (auch von der mybb mods Seite) gibts solche Sachen immer wieder.

MyBB ist halt leider zu alt, um durchgehend mit prepared statements zu arbeiten, wo sowas nicht passieren kann.

Aber trotzdem danke an die, die es gefunden und gefixt haben

Bitte immer wieder gerne

[Vorlonski]

Eine kurze Rookie-Verständnisfrage:

Kann ich einfach die neuen Files aus dem Changefiles-Archiv hochladen und
im Anschluß das Upgrade Skript ausführen, oder habe ich da jetzt einen Denkfehler?

[Jockl]

Kein Denkfehler!

Du müsstest nur die messages.lang.php noch für die deutschen Sprachverzeichnisse aktualisieren, weil diese in dem Paket nicht enthalten sind.


Edit: solltest Du Dein Admin-Verzeichnis geändert haben musst Du das auch entsprechend berücksichtigen.

[bluklaus]

Hat jemand zufällig ne Ahnung was an der messages.lang.php geändert wurde?

---

Hat sich schon erledigt

[Jockl]

Diese Zeile wurde geändert

PHP-Code:

$l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>."; 


Mit notepad++ kannst Du z.B. die compare-Fkt. nutzen, um zwei Dateien miteinander zu vergleichen..

[frostschutz]

EDIT: Jockl war schneller

Bei der Meldung daß der Username schon besetzt ist gibts jetzt einen Link zum Login-Formular

Code:

-$l['error_usernametaken'] = "The username you have chosen is already registered.";
+$l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>.";

Ist jetzt nichts umwerfend wichtiges...