Diskussion zu: MyBB 1.6.4 Sicherheitshinweis

Ich hatte diese Sicherheitslücke nicht in meiner "Installation".

Vielleicht hilft es Euch weiter, ich habe die Installation am 10.08. durchgeführt (wegen der "Lecksuche").

Ich muss zugeben, dass ich mir den Unterschied zwischen den Dateien anschaue, hätte aber in diesem Fall sicherlich nichts verdächtiges vermutet.

Hi Leutz vielen Dank für den Sicherheitstipp, habe vor c.a. einer Woche auf 1.6.4. upgedatet( die deutsche Version hier zum download)! Hab den Code gerade überprüft, bei mir passt alles! Durchschnauf. Greetz Flo

Moin,
bei mir sollte ebenfalls alles i.O. sein.

index.php mit dem "replace with" aus patches.txt verglichen. Bereits vorhanden.

eval() wird leider zu oft benutzt, in so gut wie allen Forensystemen, aber lässt sich leider nicht immer vermeiden.

Was ich mich frage ist, wie das passieren konnte - das ist ja eine sehr kritische Lücke. MyBB.com verharmlost das Ganze leider sehr.

(06.10.2011 17:18)Boolean schrieb:  Was ich mich frage ist, wie das passieren konnte - das ist ja eine sehr kritische Lücke. MyBB.com verharmlost das Ganze leider sehr.

Liegt vermutlich daran, dass der "Hacker" im Team ist...

So wie sich die Ankundigung hier anhört, war der Schadcode nicht in den Paketen auf mybboard.de?

---

Kleiner Gedankenanstoß: Das erste, was ein Hacker machen könnte, ist den Schadcode aus der index.php zu entfernen, dass man denkt man wäre nicht betroffen. Von demher ist die Anleitung in dieser Ankündigung ziemlich irreführend!

---

Was einigermaßen sicher wäre (vorausgesetzt auf dem webspace konnten keine System-Befehle ausgeführt werden - und angenommen die aktuelle MyBB-Version die zum Download steht ist wirklich schadcode-frei):
Komplettes diff über den mybb-Ordner jagen. Alle anderen Dateien, auf die man per eval Zugriff gehabt hätte, auf Änderungen prüfen.
Komplette Datenbank nach Schadcode durchforsten (z. B. JavaScripts).
Sicherstellen, dass das Datenbank-Passwort nirgendwo anders genutzt wurde.

Ich habe mal die "Anleitung" zum Ausnutzen dieser Lücke entfernt. *hust* Das bringt nur Leute auf blöde Gedanken. Hier sind wahrscheinlich nur wenige Leute betroffen, aber das ist schon eher Zufall.

(06.10.2011 17:20)pcworld schrieb:  Liegt vermutlich daran, dass der "Hacker" im Team ist...

Du hast keinerlei Informationen über den Server, das Release-System und die Zugriffsrechte und stellst trotzdem eine derartige Behauptung in den Raum? Das finde ich schon unverschämt. Die Ursache wird immer noch untersucht...

(06.10.2011 17:20)pcworld schrieb:  So wie sich die Ankundigung hier anhört, war der Schadcode nicht in den Paketen auf mybboard.de?

Die deutschen Pakete waren nicht betroffen, die englischen schon.

Gut das ich faul war und dass deutsche Paket benutzt hatte. Lücke nicht vorhanden

Danke für den MyBB 1.6.4 Sicherheitshinweis (06.10.11)

Die Idee mit der Prüfsumme von Download-Paketen finde ich schon mal nicht verkehrt. Damit würde eine Manipulation schnell aufgedeckt werden. Ich würde vorschlagen die Pakete auf einem Webspace getrennt von allen anderen Scripten zum Download anzubieten. Bei der Nutzung von einem CDN würde MyBB wiederum Kontrolle abgeben.

Dass der Vorfall aufgeklärt wurde beweist Kompetenz der Leute die hinter dem Projekt stehen.