+- MyBB Nederland (http://mybbnederland.nl)
+-- Forum: Het forum (/forumdisplay.php?fid=1)
+--- Forum: Nieuws (/forumdisplay.php?fid=3)
+--- Discussie: MyBB 1.6.4 security update (/showthread.php?tid=99)
MyBB 1.6.4 security update - koenwi - 10-07-2011 01:13 PM
MyBB 1.6.4 is 3 maanden geleden uitgebracht en is één van de grootste updates die MyBB ooit heeft gedaan. Het repareerde meer dan 100 fouten en zorgde voor nog betere performantie van uw forum.
Spijtig genoeg is er een fout in MyBB 1.6.4 geslopen en is er code gepubliceerd die mogelijk een beveiligingsprobleem veroorzaakt. Deze fout treft enkel MyBB 1.6.4.
We adviseren u zo spoedig mogelijk het probleem op te lossen op volgende manier:
- Download dit bestand:[attachment=17]
- vervang op uw forum ./index.php (in de root map van uw forum) door het bestand van hierboven.
- Verwijder ./install/ map als deze nog bestaat op uw forum.
OF
- Download en volg de instructies: http://blog.mybb.com/wp-content/uploads/2011/10/mybb_1604_patches.txt
- Als u bovenstaande code niet terugvindt, is uw forum waarschijnlijk niet geïnfecteerd.
- Verwijder ./install/ map als deze nog bestaat op uw forum.
Voor meer info verwijzen wij u door naar het officiële MyBB blog: http://blog.mybb.com/2011/10/06/1-6-4-security-vulnerabilit/
Volg alle updates op twitter: http://twitter.com/mybbnl
RE: MyBB 1.6.4 security update - knol - 10-07-2011 03:22 PM
Vreemd dat ik nooit meer email ontvang van MyBB zelf, anders had ik deze wel eerder gezien!
Bedankt Koenwi! (overigens hebben ze het in de blog erover dat als men niks kan terugvinden van die code dat men alsnog beter de .install folder kan verwijderen)
Citaat:We advise that you fix the problem as soon as you can. You can do so by following these instructions:
Download the latest release of MyBB.
Replace ./index.php (in the root folder of your forum) with the one in the download (./Upload/index.php).
Remove the ./install/ folder
OR
Download and follow the 1.6.4 Patch Instructions
If you are unable to find the affected areas, this issue does not affect you. Otherwise, remove the ./install/ folder.
RE: MyBB 1.6.4 security update - koenwi - 10-07-2011 04:14 PM
Ik heb er ook (nog) geen mailtje over ontvangen, maar meestal is hun blog vroeger met de informatie dan de mailtjes. Dus hopelijk worden die nog spoedig verzonden, want niet iedereen kijkt het blog geregeld na vrees ik.
Ik heb het deel van 'install' erbij geplaatst voor de zekerheid nu, ik ging ervan uit dat de install map sowieso weg of gelocket is bij iedereen. (Dat zou toch moeten)
RE: MyBB 1.6.4 security update - knol - 10-07-2011 04:51 PM
Heb eigenlijk maar enkele keren een mailtje gehad... Daarnaast hoeft normaal gesproken de installmap niet weg, enkel lock zou voldoende moeten zijn. Daarnaast bestaan er mogelijkheden om zo'n map te beveiligen via bv htaccess natuurlijk. Of gewoon leeg gooien..
RE: MyBB 1.6.4 security update - koenwi - 10-25-2011 08:01 AM
Vandaag is er van MyBB toch een officiële mail verzonden waaruit blijkt dat bovenstaande 'fout' gekomen is door een wijziging gedaan door derden op de downloadserver van MyBB. Dit kwam waarschijnlijk door een probleem in het door hun gebruikte cms waardoor een hacker code kon toevoegen aan de download. MyBB bekijkt inmiddels verschillende oplossingen om dergelijke problemen in de toekomst te vermijden.
De versie die hier op onze website aangeboden werd is een versie die het probleem niet lijkt te bevatten omdat deze vlak na het uitkomen van mybb 1.6.4 van de officiële website gedownload is, voor de betreffende fout zich voordeed. Desondanks blijft het aangeraden bovenstaande update uit te voeren mocht dit nog niet gebeurt zijn.
Voor meer info verwijzen wij u door naar het officiële MyBB blog: http://blog.mybb.com/2011/10/25/some-closure-on-the-1-6-4-security-vulnerability/