MyBB.de Forum
MyBB 1.2.4 veröffentlicht - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+--- Thema: MyBB 1.2.4 veröffentlicht (/thread-5446.html)



MyBB 1.2.4 veröffentlicht - Michael - 04.04.2007

MyBB 1.2.4 ist eine Sicherheitsaktualisierung für die 1.2er Serie. Es wird eine Sicherheitslücke mit hohem Risiko behoben, die gestern an die MyBB Group gemeldet wurde. Wir empfehlen daher das Forum schnellstmöglich zu aktualisieren.

Die Sicherheitslücke erlaubt es Angreifern über eine valide Administrator-Session Zugriff auf das Forum zu erhalten und weitere Schaddateien nachzuladen.

MyBB 1.2.4 behebt nur diese Sicherheitslücke. Ein Bugfix-Release ist derzeit noch nicht fertig. Version 1.1.8 ist nicht betroffen.

Als Vorsichtsmaßnahme sollten alle Benutzer die Ordner uploads und uploads/avatars/ nach Dateien mit der Endung .php durchsuchen. Sollte dort eine PHP-Datei sein, löscht diese bitte umgehend. Ihr könnt auch die angefügte Datei benutzen, die genau diese Aufgabe erledigt.

MyBB 1.2.3 zu MyBB 1.2.4 Patch
Dieser Patch ist nur für Benutzer, die MyBB 1.2.3 einsetzen. Solltet ihr eine ältere Version verwenden, ladet das ganze MyBB 1.2.4-Paket herunter und führt ein Upgrade aus.

Ladet das angefügte Archiv herunter und ersetzt die Dateien inc/functions.php und inc/class_core.php mit den enthaltenen Dateien.

Ihr könnt den Fix auch manuell einspielen. Die Anleitung dazu findet ihr in der angefügten "mybb_123_sql_fix.txt".

Wie kann ich feststellen, ob ich bereits betroffen bin?
Die angefügte Datei "123_vuln_scanner.php" untersucht die Upload- und Sprachpaketordner des Forums und stellt fest, ob eine Schaddatei existiert oder nicht.

Ladet die Datei in den Ordner des Forums und ruft sie über den Browser auf.


RE: MyBB 1.2.4 veröffentlicht - Michael - 04.04.2007

Diskussion zur Ankündigung