Hallo, Gast! (Registrieren)

Wir wünschen allen Besuchern frohe Ostern!

Letzte Ankündigung: MyBB 1.8.37 veröffentlicht (04.11.23)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Diskussion: GitHub-Account kompromittiert
#1
Diskussion zu: GitHub-Account kompromittiert

Gruß,
Michael
[Bild: banner.png]
Support erfolgt NUR im Forum!
Bitte gelöste Themen als "erledigt" markieren.
Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
Zitieren
#2
Das sind aber schlechte Neuigkeiten. Zum Glück bin ich nicht betroffen, werde aber sicherheitshalber alles ändern.

Danke für die Info.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#3
Betrifft das nur die Datenbank-Backup Funktion?
Ich habe nämlich die backupdb.php in meinen Foren seit Langem komplett entfernt.
Zitieren
#4
(15.11.2014, 20:09)waldo schrieb: Betrifft das nur die Datenbank-Backup Funktion?
Das eingebundene Skript hat ausschließlich das Datenbankbackup aufgerufen.

Gruß,
Michael
[Bild: banner.png]
Support erfolgt NUR im Forum!
Bitte gelöste Themen als "erledigt" markieren.
Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
Zitieren
#5
Alles klar, danke Michael.
Passwortwechsel kann trotzdem nie schaden Smile
Zitieren
#6
Nichts erkennbar, das Admin-CP aber auch das letzte Mal um 00:40 Uhr genutzt.
Also wohl nicht angegriffen?

Passwort habe ich trotzdem angepasst. Danke!
Zitieren
#7
Betrifft das alle MyBB Versionen und konnte der Angriff nur durchgeführt, wenn der Versionscheck aufgerufen wurde?
viele Grüße
Jockl
übersetzte und eigene Plugins
Zitieren
#8
Seid ihr euch sicher, dass ein Nichterscheinen des Backups im ACP eine Entwarnung ist?
Zitieren
#9
Schau dir die Admin Logs an.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#10
Danke für die Information, bei uns war niemand eingeloggt.

Wenn ich das JS richtig interpretiere und es seitdem nicht geändert wurde, dann hat es nur die users-Tabelle erwischt. In dem Fall sollten die User nicht aufgefordert, sondern zwangsbeglückt werden, wenn nicht mit neuen Passwörtern dann wenigstens mit Loginkeys (geht mit einem Query)... das Passwort selbst braucht der Angreifer ja gar nicht um sich mit diesem Nutzer einzuloggen.

Zitat:Für den betroffenen Account bei GitHub wurden bereits Vorsichtsmaßnahmen aktiviert, um solch einen Zwischenfall in Zukunft zu verhindern.

Kommt dann irgendwann noch ein Sicherheitsupdate für MyBB 1.6 und 1.8?

Man denkt da normalerweise nicht dran, aber ein schöneres Beispiel, daß heruntergeladene Daten auch nicht vertrauenswürdiger sind als Usereingaben, kann man sich gar nicht ausdenken...

Mit einem htmlspecialchars() (o.ä. Validierung) an der richtigen Stelle wäre nichts passiert. So gesehen ist es als Sicherheitslücke innerhalb von MyBB selbst einzustufen. Ähnliche Angriffe wären auch an anderen Stellen denkbar (Einbindung der Blobbeiträge, Pluginliste, o.ä.). Ich glaub fast ich bau das gleich ganz aus, ich weiß eh welche Version aktuell ist.
Zitieren