ForumForum

Es ist: 17.04.2014, 00:33 Hallo, Gast! (AnmeldenRegistrieren)

Letzte Ankündigung: MyBB 1.6.12 veröffentlicht (30.12.13)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Antwort schreiben   
MyBB 1.6.4 Sicherheitshinweis
06.10.2011, 13:46 (Dieser Beitrag wurde zuletzt bearbeitet: 30.10.2011 22:53 von StefanT.)
Beitrag #1
MyBB 1.6.4 Sicherheitshinweis
In den MyBB-Downloads von MyBB.com wurde ein Schadcode entdeckt, der möglicherweise eine Sicherheitslücke verursachen könnte. Wie dieser Code dort hinkommen konnte, ist bisher unklar und wird noch untersucht. Dass hier jemand dem MyBB absichtlich Schaden zufügen wollte, liegt allerdings sehr nahe.

Betroffen sind nach bisherigen Erkenntnissen die Downloads von MyBB 1.6.4 von MyBB.com und ebenso die englischen Pakete von 1.6.4 bei MyBBoard.de. Die deutschen Sprachdateien und das eingedeutschte MyBB-Paket sind davon aber NICHT betroffen. Trotzdem raten wir allen dazu, eure Installation wie folgt zu überprüfen:

Variante 1
  • Ladet das komplette Paket von MyBB 1.6.4 herunter
  • Überschreibt die index.php mit der aus dem Paket
  • Löscht den Ordner install von eurem Webspace
Variante 2
  • Folgt der folgenden Anleitung:
    .txt  mybb_1604_patches.txt (Größe: 1,21 KB / Downloads: 400)
  • Sollte die genannte Stelle nicht gefunden werden könne, besteht keine Gefahr.
  • Löscht den Ordner install von eurem Webspace
Sollte ihr die index.php umbenannt haben, prüft bitte auch die umbenannte Datei.

Sobald es neue Erkenntnisse gibt, werdet ihr hier informiert. Bei MyBB.com werden auch zusätzliche Maßnahmen ergriffen um die Downloads besser zu schützen.

Melden von Sicherheitsproblemen
Solltest du ein Sicherheitsproblem im Code des MyBB finden, poste dieses bitte NICHT im Forum. Melde das Problem stattdessen über das Kontaktformular oder per PN an ein Mitglied des Support-Teams.
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06.10.2011, 13:47
Beitrag #2
RE: MyBB 1.6.4 Sicherheitshinweis
Diskussion zur Ankündigung
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25.10.2011, 10:30
Beitrag #3
RE: MyBB 1.6.4 Sicherheitshinweis
Nun gibt es eine offizielle Mitteilung vor, die einige offene Fragen beantwortet:

Es wird bestätigt, dass der Schadcode bösartig ist und durch eine fremde Person in die MyBB-Pakete eingeschleust wurde. Deshalb sollte unbedingt jeder prüfen, dass er nicht angreifbar ist indem er die Anweisungen oben befolgt. Die Pakete wurden sofort bereinigt als der Schadcode entdeckt wurde, Downloads nach der Ankündigung oben sind nicht betroffen. Es konnte allerdings nicht festgestellt werden, wann die Pakete manipuliert wurden. Wer direkt nach dem Release von MyBB 1.6.4 die Pakete heruntergeladen hat, könnte ebenfalls nicht betroffen sein.

Als Ursache für die Manipulation konnte das CMS, das bei MyBB.com für die Hauptseite und das Download-System benutzt wird, ausgemacht werden. Durch eine Sicherheitslücke darin, konnte ein Backdoor eingeschleust werden, der die Ausführung von PHP-Code und die Veränderung der MyBB-Pakete ermöglichte. Das CMS wurde vor einigen Jahren selbst entwickelt, allerdings hat wahrscheinlich ein verwendetes Framework eines Drittherstellers die Sicherheitslücke verursacht. Das CMS ist vollkommen eigenständig und benutzt keinerlei Code des MyBB, sodass das MyBB nicht von dieser Sicherheitslücke betroffen ist. Zudem sind alle Bereiche auf dem Server von MyBB.com voneinander isoliert, sodass das Forum und andere Bereiche nicht betroffen sind.

Als Konsequenz aus den Ereignissen sind verschiedene Änderungen geplant. Es sollen Prüfsummen angeboten werden, damit manipulierte Pakete erkannt werden können. Zudem soll es automatische Überprüfungen von einem getrennten Server geben. Auch wird überlegt, die Pakete in einem CDN zu verbreiten.
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben