MyBB.de Forum
Sicherheitsupdate für MyBB 1.2.10 - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html)
+--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html)
+--- Thema: Sicherheitsupdate für MyBB 1.2.10 (/thread-8180.html)



Sicherheitsupdate für MyBB 1.2.10 - Michael - 30.12.2007

In MyBB 1.2.10 und früheren Versionen wurde eine potenzielle Sicherheitslücke mit mittlerem Risiko gefunden.

Durch diese Sicherheitslücke ist es Benutzern möglich, einen ungewünschten Avatar hochzuladen. Obwohl das Forum diesen als ungültig erkennt, bleibt dieser im Dateisystem erhalten.

Je nach Konfiguration des Servers oder des Browsers kann diese Datei entweder serverseitig (als PHP) oder im Browser (als HTML) ausgeführt werden.

Es handelt sich hierbei um ein generelles Problem, da jede ungültige Avatardatei bisher nicht gelöscht wurde.

Die MyBB Group hat deshalb einen Patch für MyBB 1.2.10 bereitgestellt, der dieses Problem behebt und damit die Sicherheitslücke schließt. Wir empfehlen den Patch schnellstmöglich einzuspielen.

Anleitung zur Anwendung des Patches
Es gibt zwei Wege ein MyBB zu patchen.

Wenn du keine Änderungen in der Datei inc/functions_upload.php vorgenommen hast, kannst du deine Datei einfach durch die im Anhang dieses Beitrags ersetzen.

Wenn du die Datei inc/functions_upload.php bearbeitet hast, lade die Anleitung zum manuellen Update herunter und folge den Anweisungen.

Die Downloads auf unserer Seite wurden ebenfalls aktualisiert.


RE: Sicherheitsupdate für MyBB 1.2.10 - Michael - 30.12.2007

Diskussion zur Ankündigung