MyBB 1.2.4 ist eine Sicherheitsaktualisierung für die 1.2er Serie. Es wird eine Sicherheitslücke mit hohem Risiko behoben, die gestern an die MyBB Group gemeldet wurde. Wir empfehlen daher das Forum schnellstmöglich zu aktualisieren.
Die Sicherheitslücke erlaubt es Angreifern über eine valide Administrator-Session Zugriff auf das Forum zu erhalten und weitere Schaddateien nachzuladen.
MyBB 1.2.4 behebt nur diese Sicherheitslücke. Ein Bugfix-Release ist derzeit noch nicht fertig. Version 1.1.8 ist nicht betroffen.
Als Vorsichtsmaßnahme sollten alle Benutzer die Ordner uploads und uploads/avatars/ nach Dateien mit der Endung .php durchsuchen. Sollte dort eine PHP-Datei sein, löscht diese bitte umgehend. Ihr könnt auch die angefügte Datei benutzen, die genau diese Aufgabe erledigt.
MyBB 1.2.3 zu MyBB 1.2.4 Patch
Dieser Patch ist nur für Benutzer, die MyBB 1.2.3 einsetzen. Solltet ihr eine ältere Version verwenden, ladet das ganze MyBB 1.2.4-Paket herunter und führt ein Upgrade aus.
Ladet das angefügte Archiv herunter und ersetzt die Dateien inc/functions.php und inc/class_core.php mit den enthaltenen Dateien.
Ihr könnt den Fix auch manuell einspielen. Die Anleitung dazu findet ihr in der angefügten "mybb_123_sql_fix.txt".
Wie kann ich feststellen, ob ich bereits betroffen bin?
Die angefügte Datei "123_vuln_scanner.php" untersucht die Upload- und Sprachpaketordner des Forums und stellt fest, ob eine Schaddatei existiert oder nicht.
Ladet die Datei in den Ordner des Forums und ruft sie über den Browser auf.
MyBB 1.2.3 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Update zur Fehlerbehebung und es werden zwei Sicherheitslücken mit geringem Risiko geschlossen, die in MyBB 1.2.x und 1.1.x gefunden wurden.
Über 80 Bugs wurden behoben, die gemeldet oder im Beta-Test festgestellt wurden. Somit wurde die Stabilität der Forensoftware verbessert.
Informationen zum Update, zu Templateänderungen und zu Änderungen in den Sprachdateien befinden sich in den nächsten Beiträgen. Zudem steht ein Patch für MyBB 1.1.8 bereit. Da die deutschen Sprachpakete ab sofort nur noch Unicode unterstützen, lest bitte erst die gesamte Ankündigung!
Sollte das Update nicht schnellstmöglich durchgeführt werden können:
Aktualisiert euer Forum mit dem angefügten Patch (manuell), um die Sicherheitslücke mit mittlerem Risiko zu schließen. Es handelt sich dabei nur um eine Notlösung, die Aktualisierung auf MyBB 1.2.3 sollte zeitnah durchgeführt werden.
so leid mir das Ganze tut, unsere Seite ist morgen (Freitag) erneut nicht erreichbar. Somit steht das Forum nicht zur Verfügung.
Der Grund: Auf unserem neuen Server wurde ein Defekt im Arbeitsspeicher festgestellt, so dass seit ein paar Tagen nur ein Teil des Speichers zur Verfügung steht. Um nicht unnötige Zeit durch Fehlersuche zu verschwenden, wird von unserem Hoster direkt ein komplett neues System zur Verfügung gestellt. Bis die Daten auf den neuen Server übertragen wurden, ist die Seite daher offline.
Ich hoffe, dass wir zum Wochenende wieder online sind und bitte die Umstände zu entschuldigen.
Unsere Seite wird nun über ein CMS verwaltet und mit der Umstellung haben wir auch das Design geändert, da das alte sehr schwerfällig war und teilweise lange Ladezeiten verursachte.
Der Downloadbereich bietet ab sofort nur noch die Downloads zum MyBB selbst, alle Mods/Themes wurden ins Downloadsystem von MyBBCoder übernommen und stehen weiterhin zur Verfügung. Damit soll dem großen Problem entgegengewirkt werden, dass die Dateien nicht aktuell waren, da sich niemand mehr darum gekümmert hat. Außerdem wollen wir so unseren Standpunkt stärken, Support für das MyBB an sich zu bieten.
Ich wünsche euch ein paar schöne Feiertage und schon vorab einen guten Rutsch ins Jahr 2007!
1. Verwendete Version im Profil
Ab sofort könnt ihr im Benutzer-CP im Profil die von euch eingesetzte Version des MyBB angeben. Ich bitte euch diese Angabe zu machen und auch zu aktualisieren, da wir so leichter Support leisten können.
2. Bitte ins richtige Forum posten!
In der letzten Zeit mussten wir wieder vermehrt Beiträge verschieben und Themen teilen, da sich diese im falschen Forum befanden. Bitte überlegt euch vorher in welches Forum euer Anliegen am besten passt, so kann man auch gezielter nach schon behandelten Themen suchen und die Übersicht bleibt gewahrt. An dieser Stelle sei nochmal auf die Regeln verwiesen.
3. Forenvorstellung im Forum "Showcase"
Wir bieten euch das Forum an, um eure Foren vorzustellen. Das Ganze wird nur zum Problem, wenn Links zu Boards eingestellt werden, die illegale Inhalte oder Links auf eben diese bereitstellen. Im besonderen Fall geht es hier um Foren, die sich mit Knuddels beschäftigen und in denen Hacks angeboten werden. An dieser Stelle sei darauf hingewiesen, dass diese nicht legal sind! Hier ein Auszug aus den AGB von Knuddels (Absatz 5.6):
Zitat:Das Verwenden von Programmen, die für den Nutzer im Chat Texte schreiben oder auf andere Weise das automatische Trennen nach langzeitigem Untätigbleiben im Chat verhindern, (sog. Bots) ist untersagt.
Ebenso ist die Benutzung von Programmen, mit denen Einfluss auf die im Chat zur Verfügung gestellten Spiele oder Nutzerinformationen (Info) genommen werden kann (sog. Cheat-Programme), untersagt.
Da scheinbar viele Foren, die oben genannte Inhalte enthalten oder Links bereitstellen, das MyBB einsetzen, ist das Einstellen von Foren mit dem Thema "Knuddels" untersagt. Bestehende Links werden in Kürze aus unserem Forum entfernt. Diese Regelung betrifft auch die Verlinkung in Signaturen.
MyBB 1.2.2 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Update zur Fehlerbehebung und es werden zwei Sicherheitslücken mit geringem Risiko und eine mit mittlerem Risiko geschlossen, die in MyBB 1.2.x und 1.1.x gefunden wurden.
Folgende Verbesserungen/Änderungen sind u.a. enthalten:
Inline-Fehlernachrichten für Benutzer bei Änderung ihres Benutzernamens, ihrer E-Mail-Adresse und/oder Ihres Passworts im Benutzer-CP
MySQL 5.1 Strict-Kompatibilität aktualisiert
PHP 5.2.0 Shutdown-Bug behoben
Viele gemeldete Fehler aus MyBB 1.2.1 und früher behoben
Wir empfehlen allen Benutzern das Update auf MyBB 1.2.2, da Sicherheitslücken behoben wurden und die neue Version mehr Stabilität gewährleistet.
Informationen zum Update, zu Templateänderungen und zu Änderungen in den Sprachdateien befinden sich in den nächsten Beiträgen. Zudem steht ein Patch für MyBB 1.1.8 bereit.
Sollte das Update nicht schnellstmöglich durchgeführt werden können:
Aktualisiert euer Forum mit dem angefügten Patch (manuell), um die Sicherheitslücke mit mittlerem Risiko zu schließen. Es handelt sich dabei nur um eine Notlösung, die Aktualisierung auf MyBB 1.2.2 sollte schnellstmöglich durchgeführt werden.
Im Code des MyBB 1.2.1 wurde eine Sicherheitslücke entdeckt, die auch alle vorherigen Versionen betrifft. Es ist möglich manipulierte Gif-Dateien als Attachments/Avatare hochzuladen, die ausführbaren Code enthalten. Dadurch können die Cookies der Benutzer ausgelesen werden, die die Seite aufgerufen haben.
Um diese Sicherheitslücke zu schließen wurde ein Patch für die zwei zur Zeit unterstützten Versionen veröffentlicht.
Aktualisierung von MyBB 1.2.1
Ersetzt die Datei inc/functions_upload.php durch die angefügte Datei functions_upload.php. Eine Anleitung zum manuellen Update findet ihr in der Datei "attachments_121_manual_patch.txt".
Die Downloads im Downloadverzeichnis wurden aktualisiert.
In Kürze wird MyBB 1.2.2 veröffentlicht, mit dem Probleme und Fehler behoben werden.
Der Chat hier im Forum basiert jetzt auf Flashchat, da dieser eine bessere Integration mit dem Forum ermöglicht und auch mehr Funktionen bietet, die uns beim Support helfen können. Die Anmeldung erfolgt mit den gleichen Zugangsdaten wie im Forum.
Der Channel im IRC-Netzwerk von Freenode wurde wieder freigegeben und gehört nicht mehr zu MyBBoard.de. Ein Login über einen IRC-Client in unseren Chat ist nicht mehr möglich.
In den nächsten Tagen wird es Probleme mit der Erreichbarkeit von MyBBord.de geben, da die Seiten umgezogen werden. Grund ist, dass insbesondere das Forum den Server zu stark belastet, so dass auch andere Kunden unseres Hosters auf dem Server beeinträchtigt werden.
Wie ihr sicher bemerkt habt sind unsere Seiten öfter nur schwer zu erreichen. Besonders gestern nach der Veröffentlichung von MyBB 1.2.1 gab es größere Probleme.
Auf Nachfrage bei meinem Hoster wurde mir mitgeteilt, dass die Seite MyBBoard.de gestern teilweise über 50% der Ressourcen des Servers benötigt hat, auf dem zudem noch 99 weitere Kunden liegen.
Auf der einen Seite freuen wir uns natürlich darüber, dass unsere Website und besonders die Community in der letzten Zeit stark gewachsen sind. Auf der anderen Seite verursacht das aber eben die genannten Probleme.
Mein Hoster und ich sind uns einig, dass es so für uns beide kein Dauerzustand sein kann. Somit steht fest: Es muss etwas geändert werden. Was kann ich noch nicht genau sagen, aber es wird etwas kosten.
Zurzeit trage ich die Kosten für Hosting und was sonst noch anfällt alleine und das mache ich auch weiterhin. Allerdings ist mein finanzieller Spielraum als Student nicht der Größte. Daher möchte ich daran erinnern, dass ihr uns unterstützen könnt. Weitere Informationen: https://www.mybb.de/impressum/unterstuetzung/
Bei Fragen könnt ihr mich gerne auch per PN kontaktieren.
