(16.11.2014, 11:42)frostschutz schrieb: @chrissio:
Als unnötig würde ich die Funktion nicht bezeichnen. Eigentlich soll die Funktion ja die Admins dazu bringen mal ihr MyBB upzudaten, und das ist normalerweise um Sicherheitslücken aus der Welt zu schaffen... daß es jetzt so mißbraucht wurde ist eine sehr unglückliche Geschichte aber das kann man fixen und wird wohl auch gemacht https://github.com/mybb/mybb/issues/1617

(16.11.2014, 11:42)frostschutz schrieb: @Trommler: Wenn du betroffen bist, dann ändere zumindest die loginkeys von allen. Denn um gültige Session--Cookies zu erzeugen, braucht der Angreifer das Passwort gar nicht unbedingt solange der loginkey passt.

Code:

UPDATE mybb_users SET loginkey='';
# oder wenn paranoid:
UPDATE mybb_users SET loginkey=SHA1(CONCAT(RAND(),UUID(),loginkey));

Danach sollten sich alle neu einloggen müssen.

Admins/Mods sollten trotzdem ihr Passwort ändern, und den restlichen Usern sollte das zumindest empfohlen werden. Die Passwörter in der Datenbank sind gesalzen, was Bruteforce einzelner User-Passwörter aufwendiger, aber nicht unmöglich macht.

(15.11.2014, 23:42)Falkenauge Mihawk schrieb: Wieso wird die Datei, die die Antwort für den Versioncheck liefert, auf Github gehostet und nicht auf dem mybb.com Server?

(16.11.2014, 21:52)StefanT schrieb: Man kann nur hoffen, dass die Server von Softwareherstellern, bei denen Updates und Erweiterungen direkt im Admin-CP installiert werden können, nie gehackt werden. In dem Fall könnte das noch weiterreichende Konsequenzen haben.