Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - Druckversion +- MyBB.de Forum (https://www.mybb.de/forum) +-- Forum: MyBB.de (https://www.mybb.de/forum/forum-6.html) +--- Forum: Ankündigungen (https://www.mybb.de/forum/forum-7.html) +---- Forum: Ankündigungs-Diskussionen (https://www.mybb.de/forum/forum-49.html) +---- Thema: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht (/thread-27064.html) |
RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - StefanT - 15.12.2012 (15.12.2012, 12:19)pcworld schrieb: Ich hoffe mal, das mit der SQL-Injection ist ein Witz... o.OWarum sollte das ein Witz sein? Bei der Sicherheit machen wir keine Scherze. RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - pcworld - 15.12.2012 (15.12.2012, 12:34)StefanT schrieb: Warum sollte das ein Witz sein? Bei der Sicherheit machen wir keine Scherze. Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde. Aber trotzdem danke an die, die es gefunden und gefixt haben Kleines Feedback bezüglich eines Sicherheitsupdates solcher Priorität: Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird. So kann man sich vorbereiten, das Update innerhalb weniger Minuten einspielen und hoffen, dass niemand die Sicherheitslücke nach dem Release ausnutzen konnte. Da ich sicher nicht der einzige bin, der danach gesucht hat, hier der Patch für die editpost.php: Code: --- editpost.php 2012-05-27 12:00:10.000000000 +0200 Hier noch das komplette diff zwischen 1608_de und 1609_de: http://pastebin.com/09yENFvC RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - StefanT - 15.12.2012 (15.12.2012, 12:41)pcworld schrieb: Schickt einen Tag vor dem Release eine Mail an alle raus, in der beschrieben wird, dass am nächsten Tag um eine bestimmte Uhrzeit ein sehr wichtiges Sicherheitsupdate kommen wird.So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit. Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar. RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - pcworld - 15.12.2012 (15.12.2012, 12:56)StefanT schrieb: So genau kann das gar nicht geplant werden, wir können schließlich erst nach dem Release (das mitten in der Nacht lag) überhaupt hier anfangen. Bis die Pakete gepackt sind, die Ankündigung erstellt und der Newsletter versendet ist (und da ist noch mehr zu tun), dauert es auch noch einige Zeit.Genau deswegen könnte man die Ankündigung auch erst dann abschicken, wenn das Release intern zu 100% fertiggestellt wurde. Nach dem Vorbild von diesem Pre-Release Announcement for MediaWiki. (15.12.2012, 12:56)StefanT schrieb: Dazu ist die Sicherheitslücke auch nur eingeschränkt ausnutzbar.Das ist jetzt wie zu verstehen? RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - frostschutz - 15.12.2012 (15.12.2012, 12:41)pcworld schrieb: Sorry, auf den ersten Blick lag mir halt die Vorstellung etwas fern, dass eine solche Sicherheitslücke sich so lange in MyBB halten würde. Ist nicht die erste - wird auch nicht die letzte sein... Besonders bei den Plugins (auch von der mybb mods Seite) gibts solche Sachen immer wieder. MyBB ist halt leider zu alt, um durchgehend mit prepared statements zu arbeiten, wo sowas nicht passieren kann. (15.12.2012, 12:41)pcworld schrieb: Aber trotzdem danke an die, die es gefunden und gefixt haben Bitte immer wieder gerne RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - Vorlonski - 15.12.2012 Eine kurze Rookie-Verständnisfrage: Kann ich einfach die neuen Files aus dem Changefiles-Archiv hochladen und im Anschluß das Upgrade Skript ausführen, oder habe ich da jetzt einen Denkfehler? RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - Jockl - 15.12.2012 Kein Denkfehler! Du müsstest nur die messages.lang.php noch für die deutschen Sprachverzeichnisse aktualisieren, weil diese in dem Paket nicht enthalten sind. Edit: solltest Du Dein Admin-Verzeichnis geändert haben musst Du das auch entsprechend berücksichtigen. RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - bluklaus - 15.12.2012 Hat jemand zufällig ne Ahnung was an der messages.lang.php geändert wurde? Hat sich schon erledigt RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - Jockl - 15.12.2012 Diese Zeile wurde geändert PHP-Code: $l['error_usernametaken'] = "The username you have chosen is already registered. If you have previously registered on these forums, please <a href=\"member.php?action=login\">login</a>."; Mit notepad++ kannst Du z.B. die compare-Fkt. nutzen, um zwei Dateien miteinander zu vergleichen.. RE: Diskussion: Sicherheitsupdate: MyBB 1.6.9 veröffentlicht - frostschutz - 15.12.2012 EDIT: Jockl war schneller Bei der Meldung daß der Username schon besetzt ist gibts jetzt einen Link zum Login-Formular Code: -$l['error_usernametaken'] = "The username you have chosen is already registered."; Ist jetzt nichts umwerfend wichtiges... |