Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.17 veröffentlicht (16.07.18)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht
#11
(15.12.2012, 12:19)pcworld schrieb: Ich hoffe mal, das mit der SQL-Injection ist ein Witz... o.O
Warum sollte das ein Witz sein? Confused Bei der Sicherheit machen wir keine Scherze.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#12
(15.12.2012, 12:34)StefanT schrieb: Warum sollte das ein Witz sein? Confused Bei der Sicherheit machen wir keine Scherze.

Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.
Aber trotzdem danke an die, die es gefunden und gefixt haben Smile

Kleines Feedback bezüglich eines Sicherheitsupdates solcher Priorität:
Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.
So kann man sich vorbereiten, das Update innerhalb weniger Minuten einspielen und hoffen, dass niemand die Sicherheitslücke nach dem Release ausnutzen konnte.

Da ich sicher nicht der einzige bin, der danach gesucht hat, hier der Patch für die editpost.php:
Code:
--- editpost.php    2012-05-27 12:00:10.000000000 +0200
+++ editpost.php    2012-12-12 13:33:00.000000000 +0100
@@ -6,7 +6,7 @@
  * Website: http://mybb.com
  * License: http://mybb.com/about/license
  *
- * $Id: editpost.php 5746 2012-02-03 10:03:25Z Tomm $
+ * $Id$
  */

define("IN_MYBB", 1);
@@ -393,14 +393,13 @@
    if($forumpermissions['canpostattachments'] != 0)
    { // Get a listing of the current attachments, if there are any
        $attachcount = 0;
+        $posthash_query = '';
+
        if($posthash)
        {
-            $posthash_query = "posthash='{$posthash}' OR ";
-        }
-        else
-        {
-            $posthash_query = "";
+            $posthash_query = "posthash='".$db->escape_string($posthash)."' OR ";
        }
+
        $query = $db->simple_select("attachments", "*", "{$posthash_query}pid='{$pid}'");
        $attachments = '';
        while($attachment = $db->fetch_array($query))

Hier noch das komplette diff zwischen 1608_de und 1609_de: http://pastebin.com/09yENFvC
Zitieren
#13
(15.12.2012, 12:41)pcworld schrieb: Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.
So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit.
Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#14
(15.12.2012, 12:56)StefanT schrieb: So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit.
Genau deswegen könnte man die Ankündigung auch erst dann abschicken, wenn das Release intern zu 100% fertiggestellt wurde. Nach dem Vorbild von diesem Pre-Release Announcement for MediaWiki.

(15.12.2012, 12:56)StefanT schrieb: Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar.
Das ist jetzt wie zu verstehen?
Zitieren
#15
(15.12.2012, 12:41)pcworld schrieb: Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde.

Ist nicht die erste - wird auch nicht die letzte sein... Wink

Besonders bei den Plugins (auch von der mybb mods Seite) gibts solche Sachen immer wieder.

MyBB ist halt leider zu alt, um durchgehend mit prepared statements zu arbeiten, wo sowas nicht passieren kann.

(15.12.2012, 12:41)pcworld schrieb: Aber trotzdem danke an die, die es gefunden und gefixt haben Smile

Bitte immer wieder gerne Toungue
Zitieren
#16
Eine kurze Rookie-Verständnisfrage:

Kann ich einfach die neuen Files aus dem Changefiles-Archiv hochladen und
im Anschluß das Upgrade Skript ausführen, oder habe ich da jetzt einen Denkfehler?
Zitieren
#17
Kein Denkfehler! Wink

Du müsstest nur die messages.lang.php noch für die deutschen Sprachverzeichnisse aktualisieren, weil diese in dem Paket nicht enthalten sind.


Edit: solltest Du Dein Admin-Verzeichnis geändert haben musst Du das auch entsprechend berücksichtigen.
viele Grüße
Jockl
übersetzte und eigene Plugins
Zitieren
#18
Hat jemand zufällig ne Ahnung was an der messages.lang.php geändert wurde?

Hat sich schon erledigt
Zitieren
#19
Diese Zeile wurde geändert
PHP-Code:
$l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>."

Mit notepad++ kannst Du z.B. die compare-Fkt. nutzen, um zwei Dateien miteinander zu vergleichen..
viele Grüße
Jockl
übersetzte und eigene Plugins
Zitieren
#20
EDIT: Jockl war schneller Big Grin

Bei der Meldung daß der Username schon besetzt ist gibts jetzt einen Link zum Login-Formular
Code:
-$l['error_usernametaken'] = "The username you have chosen is already registered.";
+$l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>.";

Ist jetzt nichts umwerfend wichtiges...
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Diskussion: MyBB 1.8.17 veröffentlicht StefanT 18 435 Vor 5 Stunden
Letzter Beitrag: BlaueElise79
  Diskussion: MyBB 1.8.16 veröffentlicht StefanT 8 378 13.07.2018, 09:08
Letzter Beitrag: StefanT
  Diskussion: MyBB 1.8.15 veröffentlicht StefanT 18 1.606 20.04.2018, 21:51
Letzter Beitrag: MrBrechreiz
  Diskussion: MyBB 1.8.14 veröffentlicht Jockl 12 1.909 25.12.2017, 20:17
Letzter Beitrag: bromance
  Diskussion: MyBB 1.8.13 veröffentlicht StefanT 52 4.583 01.12.2017, 23:22
Letzter Beitrag: Amunette