MyBB.de Forum
MyBB 1.1.5 veröffentlicht - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+--- Thema: MyBB 1.1.5 veröffentlicht (/thread-2460.html)

MyBB 1.1.5 veröffentlicht - Michael - 27.06.2006

Die MyBB Group hat soeben MyBB 1.1.5, ein Sicherheitsupdate für die MyBB 1.x Serie, freigegeben. Behoben werden Sicherheitslücken mit hohem Risiko, die die Versionen 1.0 PR2 bis 1.1.4 betreffen.

Da zur Zeit leider immer wieder neue Sicherheitslücken im Code des MyBB gefunden wurden, hat die MyBB Group eine softwarebasierte Codeüberprüfung durchgeführt, die potenzielle Möglichkeiten für SQL-Injektion, Cross-Site-Scripting und allgemeine Probleme aufzeigt. Es wurden diverse Warnungen für den Code von MyBB 1.1.4 ausgegeben, die durch diesen sofort veröffentlichten Patch geschlossen werden. Ab jetzt wird der Code der Forensoftware vor jeder neuen Version durch diese Software überprüft.

MyBB 1.1.5 schließt außerdem Lücken, die der MyBB Group von Dritten gemeldet wurden.

Das Komplettpaket auf der Haupseite wurde ebenfalls auf Version 1.1.5 aktualisiert.

Wie bei der Sicherheitslücke, die in MyBB 1.1.4 behoben wurde, besteht auch hier die Gefahr, dass Skripte geschrieben werden um Foren anzugreifen. Daher sollte das Forum schnellstmöglich aktualisiert werden.

Chris Boulton (Chefentwickler des MyBB): "It does truly sadden me to see this happen to our product - people's installations being compromised by "script kiddy" and hacking groups where destroying other peoples property is considered fun. Hopefully things will calm down - and I am sorry, personally, for once again having to release another patch for MyBB."

Wir empfehlen allen Benutzern das Update schnellstmöglich durchzuführen!

Behobene Sicherheitslücken
  • Potenzielles Cross-Site-Scripting über den http://-Tag - betrifft MyBB 1.0 RC2 und neuer (imei Web Security)
  • Potenzielle SQL-Injection im Archiv-Modus auf Servern mit register_globals = On ([url=http://myimei.com/security]imei Web Security)
  • Potenzielle Benutzergruppenmanipulation (makpaolo)
  • Andere potenzielle Lücken für SQL-Injektion (Interne Codeüberprüfung, bestätigt von DCoder)

Aktualisierung von MyBB 1.1.4 mit geänderten Dateien (Empfohlen)
  • Laden Sie das Paket mit den geänderten Dateien herunter
  • Laden Sie die neuen Dateien auf Ihren Server und ersetzen Sie die vorhandenen
  • Überprüfen Sie die Versionsnummer im Admin-CP

Manuelle Aktualisierung von MyBB 1.1.4
  • Laden Sie die Anleitung für das manuelle Update herunter
  • Führen Sie die Änderungen entsprechend der Anleitung durch und laden Sie die aktualisierten Dateien wieder auf den Server

Aktualisierung von vorigen Versionen
  • Laden Sie die aktuelle Version MyBB 1.1.5 als Komplettpaket herunter und führen Sie ein Upgrade durch (weitere Informationen finden Sie im Ordner docs/upgrade.html).

Betroffene Dateien
  • archive/global.php
  • inc/class_core.php
  • inc/class_session.php
  • inc/functions.php (Änderung der Versionsnummer)
  • inc/functions_post.php
  • inc/functions_upload.php
  • editpost.php
  • newreply.php
  • usercp.php


RE: MyBB 1.1.5 veröffentlicht - P@trick - 27.06.2006

WOW nochmal ein ganz schön dickes Update. Schön das das Forum so gepflegt wird. Hoffentlich gehts bald mit 1.2 los Smile

RE: MyBB 1.1.5 veröffentlicht - Crasher - 27.06.2006

Ja Hoffe ich auch. Ich hoffe das ich heute noch zum Updaten komme. Bin gerade ein wenig im stress Sad. Hoffentlich reichts mir dann morgen..

RE: MyBB 1.1.5 veröffentlicht - Jan - 27.06.2006

Naja, lieber soll das 1.2 noch ein paar Wochen oder Monate warten, wenn es dann deutlich sicherer ist.
Ob 1.2 oder Patch ist noch egal. Die zusatzfunktionen brauch ich bis morgen jedenfalls nicht Toungue
Trotzdem freue ich mich aufs 1.2
Jan

RE: MyBB 1.1.5 veröffentlicht - Michael - 28.06.2006

In den Patch hat sich leider ein kleiner Fehler eingeschlichen, der eine Fehlermeldung verussacht, wenn jemand einer Benutzergruppe beitritt und dadurch die sekundäre Gruppe des Benutzers geändert wird:
Zitat:Fatal error: Call to undefined method databaseEngine::simple_select() in /path/to/mybb/usercp.php on line 1744

Fix:
In der Datei usercp finden:
PHP-Code:
$query $db->simple_select(TABLE_PREFIX."usergroups""*""gid='".intval($mybb->input['joingroup'])."'"); 
Ersetzen durch:
PHP-Code:
$query $db->query("SELECT * FROM ".TABLE_PREFIX."usergroups WHERE gid='".intval($mybb->input['joingroup'])."'"); 
Alle Downloads wurden aktualisiert.