MyBB 1.8.7 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Wartungs- und Sicherheitsupdate.

Was ist neu/geändert?
Es wurden 13 Sicherheitslücken geschlossen und 83 Fehler behoben.

Geschlossene Sicherheitslücken:

• Mittleres Risiko: SQL-Injection in einem Moderations-Tool
  
• Niedriges Risiko: Fehlende Berechtigungs-Prüfung in newreply.php
  
• Niedriges Risiko: XSS-Schwachstelle im Login
  
• Niedriges Risiko: XSS-Schwachstelle bei der Validierung von Mitgliedern
  
• Niedriges Risiko: XSS-Schwachstelle in den Logs im Mod-CP
  
• Niedriges Risiko: XSS-Schwachstelle im Benutzer-CP
  
• Niedriges Risiko: XSS-Schwachstelle beim Bearbeiten von Benutzern im Mod-CP
  
• Niedriges Risiko: XSS-Schwachstelle beim Löschen von Logs im Admin-CP
  
• Niedriges Risiko: Datenbank-Zugangsdaten können über Templates ausgelesen werden
  
• Niedriges Risiko: Versandte E-Mails verraten Admin-CP-Verzeichnis
  
• Niedriges Risiko: Schlechte Zufallszahlen für adminsid und sid
  
• Niedriges Risiko: Clickjacking im Admin-CP
  
• Niedriges Risiko: Fehlende index-Dateien in Upload-Verzeichnissen
  

MyBB 1.8.6
MyBB 1.8.6 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Wartungs- und Sicherheitsupdate.

Was ist neu/geändert?
Es wurden 5 Sicherheitslücken geschlossen und 51 Fehler behoben.

Geschlossene Sicherheitslücken:

• Mittleres Risiko: Foren-Passwort kann in der xmlhttp.php umgangen werden
  
• Niedriges Risiko: SQL-Injection in admin/modules/user/group_promotions.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in inc/class_error.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in alten Upgrade-Skripten
  
• Niedriges Risiko: Full path disclosure in öffentlich einsehbaren Fehler-Logs
  

• Mittleres Risiko: Foren-Passwort kann in der xmlhttp.php umgangen werden
  
• Niedriges Risiko: SQL-Injection in admin/modules/user/group_promotions.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in inc/class_error.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in alten Upgrade-Skripten
  

MyBB 1.8.5
MyBB 1.8.5 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Wartungs- und Sicherheitsupdate.

Was ist neu/geändert?
Es wurden 6 Sicherheitslücken geschlossen und 58 Fehler behoben.

Geschlossene Sicherheitslücken:

• Mittleres Risiko: Passwort-Zurücksetz-Code kann in der member.php umgangen werden
  
• Mittleres Risiko: Absender kann beim Versenden von E-Mails in der member.php gefälscht werden
  
• Mittleres Risiko: Fehlerhafte Prüfung der Berechtigung in der search.php
  
• Mittleres Risiko: XSS-Schwachstelle bei der Beitrags-Bearbeitung in der xmlhttp.php
  
• Niedriges Risiko: CSRF-Schwachstelle beim Abbrechen von Massenmails
  
• Niedriges Risiko: Benutzung des U+200E Unicode Zeichens kann zu "doppelten" Benutzernamen führen
  

• Mittleres Risiko: Passwort-Zurücksetz-Code kann in der member.php umgangen werden
  
• Mittleres Risiko: Fehlerhafte Prüfung der Berechtigung in der search.php
  
• Niedriges Risiko: CSRF-Schwachstelle beim Abbrechen von Massenmails
  
• Niedriges Risiko: Benutzung des U+200E Unicode Zeichens kann zu "doppelten" Benutzernamen
  
• Niedriges Risiko: Mehrere XSS-Schwachstellen, die Admin-Rechte erfordern
  
• Niedriges Risiko: CSRF-Schwachstelle beim Admin-CP-Login
  
• Niedriges Risiko: Schwachstelle beim Cache-Handler im Zusammenhang mit Zend Multibyte
  

Vor fast 9 Monaten wurde MyBB 1.8 veröffentlicht, weshalb wir den Support für MyBB 1.6.x von offizieller Seite am 1. Oktober 2015 einstellen werden.

Danach wird es keinen Support mehr geben, es werden keine Sicherheitsupdates mehr veröffentlicht und die Support-Foren für MyBB 1.6 werden geschlossen.

Allen, die noch MyBB 1.6.x einsetzen, empfehlen wir bis zum 1. Oktober auf die aktuelle Version zu aktualisieren.

Sinnvolle Informationen für Umsteiger:
Downloads
Anleitung zum Upgrade
Hinweise zur Datenbanksicherung

Nachtrag: Der Support wurde mit der Veröffentlichung von MyBB 1.6.18 bis zum 1. Oktober verlängert.

MyBB 1.8.4 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Feature-, Wartungs- und Sicherheitsupdate.

Was ist neu/geändert?
Es wurden 7 Sicherheitslücken geschlossen und 118 Fehler behoben. Zudem wurden 2 neue Funktionen hinzugefügt.

Geschlossene Sicherheitslücken:

• Mittleres Risiko: XSS-Schwachstelle in der member.php
  
• Mittleres Risiko: XSS-Schwachstelle im MyCode Editor
  
• Niedriges Risiko: Mehrere XSS-Schwachstellen, die Admin-Rechte erfordern
  
• Niedriges Risiko: CSRF-Schwachstelle beim Admin-CP-Login
  
• Niedriges Risiko: Benachrichtigungen werden an falsche Gruppenleiter gesendet
  
• Niedriges Risiko: Schwachstelle beim Cache-Handler im Zusammenhang mit Zend Multibyte
  
• Kein Risiko: Full path disclosure in der JSON-Bibliothek
  

• Unterstützungen von NoCAPTCHA RECAPTCHA
  
• 2-Faktor-Authentifizierung für das Admin-CP
  

MyBB 1.8.3
MyBB 1.8.3 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Sicherheitsupdate, welches eine Sicherheitslücke mit hohem, zwei mit mittlerem und drei mit niedrigem Risiko schließt.

Wir empfehlen jedem, sein Forum schnellstmöglich zu aktualisieren!

Was ist neu/geändert?
Es wurden 6 Sicherheitslücken geschlossen.

Geschlossene Sicherheitslücken:

• Hohes Risiko: SQL-Injection bei der Theme-Auswahl
  
• Mittleres Risiko: Mögliche XSS-Lücke in calender.php
  
• Mittleres Risiko: Mögliche XSS-Lücke im MyCode Editor
  
• Niedriges Risiko: Mögliche XSS-Lücke bei Beitrags-Icons
  
• Niedriges Risiko: unserialize kann magische Methoden von PHP aufrufen
  
• Niedriges Risiko: Mögliche Probleme bei der PHP Option request_order im Zusammenhang mit register globals
  

• Niedriges Risiko: Mögliche XSS-Lücke bei Beitrags-Icons
  
• Niedriges Risiko: Mögliche XSS-Lücke in admin/modules/style/templates.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in admin/modules/config/languages.php
  
• Niedriges Risiko: unserialize kann magische Methoden von PHP aufrufen
  
• Niedriges Risiko: Mögliche Probleme bei der PHP Option request_order im Zusammenhang mit register globals
  

Gestern, am 14. November, wurde der GitHub-Account eines MyBB-Entwicklers kompromittiert. Der Angreifer hat die Möglichkeit genutzt und Änderungen vorgenommen. Es wurde die Antwort geändert, die das MyBB beim Versionscheck vom Server bekommt. Unglücklicherweise war es ihm dadurch möglich, Datenbankbackups jedes MyBB-Forums per JavaScript einzurichten.

Damit ein Forum angegriffen werden konnte, musste jemand heute zwischen 0:00 und 16:30 Uhr im Admin-CP eingeloggt sein. Solltest du dein Admin-CP in dieser Zeit genutzt haben, wurdest du wahrscheinlich angegriffen.

Um das zu überprüfen, melde dich im Admin-CP an und überprüfe die Logs der Backups. Gehe dazu ins ACP -> Tools & Verwaltung -> Datenbank sichern. Sollte im genannten Zeitraum ein Backup erstellt worden sein, wurde dein Forum attackiert. Wir empfehlen dringend, dass du deine Benutzer aufforderst, ihr Passwort zu ändern.

Wir empfehlen folgende Schritte:
1. Fordere deine Benutzer dazu auf ihr Passwort zu ändern.
2. Ändere dein Passwort.
3. Lösche deine Cookies.

Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern. Wir bitten vielmals um Entschuldigung und stehen für Fragen zur Verfügung.

MyBB 1.8.2 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Sicherheitsupdate, welches eine Sicherheitslücke mit hohem, zwei mit mittlerem und zwei mit niedrigem Risiko schließt.

MyBB 1.6.15 ist von den Sicherheitslücken nicht betroffen.

Wir empfehlen jedem, sein Forum schnellstmöglich zu aktualisieren!

Was ist neu/geändert?
Es wurden 5 Sicherheitslücken geschlossen.

Geschlossene Sicherheitslücken:

• Hohes Risiko: SQL-Injection in member.php
  
• Mittleres Risiko: Mögliche XSS-Lücke in report.php
  
• Mittleres Risiko: Mögliche XSS-Lücke in inc/class_parser.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in admin/modules/style/templates.php
  
• Niedriges Risiko: Mögliche XSS-Lücke in admin/modules/config/languages.php
  

MyBB 1.8.1 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit. Es handelt sich um ein Wartungsupdate.

Was ist neu/geändert?
Es wurden 74 Fehler behoben.

Informationen zum Update, zu Template- und Pluginänderungen und zu Änderungen in den Sprachdateien befinden sich in den nächsten Beiträgen.

Für die Aktualisierung auf MyBB 1.8.1 ist die Ausführung des Upgradeskripts erforderlich, da es Änderungen in der Datenbankstruktur, in den Sprachstrings oder in den Templates gibt.

Melden von Sicherheitsproblemen
Solltest du ein Sicherheitsproblem im Code des MyBB finden, poste dieses bitte NICHT öffentlich im Forum. Melde das Problem stattdessen über die E-Mail-Adresse im Impressum oder hier dem Support-Team.

MyBB 1.8 wurde veröffentlicht und steht ab sofort zum Herunterladen bereit.

Über 2 Jahre nach Ankündigung der Version im April 2012 freuen wir uns die neue Version veröffentlichen zu können. Die Entwicklung hat, nicht zuletzt durch das Hinzufügen weiterer Funktionen, länger gedauert als ursprünglich geplant, doch das Ergebnis kann sich sehen lassen.

Es gibt zahlreiche neue Features, Verbesserungen, Fehlerbehebungen und Performanceoptimierungen seit MyBB 1.6.

Wir empfehlen allen Benutzern das Upgrade auf MyBB 1.8, so dass die Vorteile der neuen Version ausgeschöpft werden können. Das Upgrade sollte aber geplant werden! Informationen zum Upgrade, zu Templateänderungen und zu Änderungen in den Sprachdateien befinden sich in den nächsten Beiträgen.