25.10.2011, 21:46
Zobacz w Portalu - Autorzy MyBB tłumaczą zamieszanie związane z wersją 1.6.4Około dwa tygodnie temu informowaliśmy na łamach serwisu o zaktualizowanej paczce MyBB 1.6.4, która usuwała bardzo poważny błąd bezpieczeństwa w jednym z plików stabilnego wydania. Sytuacja była jednak nad wyraz dziwna: paczka ta była dostępna już od dawna, najpierw wszystko było w porządku, a później pobranie tego wydania MyBB zaczęło wiązać się z zagrożeniem bezpieczeństwa, aby ostatecznie znowu wrócić ze wszystkim do porządku. Dzisiaj zespół MyBB postanowił wyjaśnić całe to zamieszanie.
Jak się okazało, winnemu wszystkiego było włamanie do systemu portalowego i downloadu w międzynarodowym centrum MyBB.com. W wyniku luki w frameworku, z którego korzysta leciwy już nieco CMS do obsługi portalu, włamywacz mógł wykonać dowolny kod PHP i dokonać zmian w opublikowanych paczkach. To właśnie było przyczyną pojawienia się niebezpiecznego pliku. Autorzy MyBB zaznaczają, że portal i system downloadu są odizolowane od innych części międzynarodowego suportu, a więc żądne dane użytkowników z np. forum, nie zostały przechwycone i są bezpieczne. Oczywiście nadal zalecamy sprawdzanie plików na własnych forach zgodnie z informacjami zawartymi w newsie dotyczącym zauważonego problemu.
Chociaż MyBB 1.6.5 pojawi się dopiero za kilka tygodni, zespół zastanawia się nad kilkoma dodatkowymi zmianami. Przede wszystkim, od tej pory publikowane będą sumy kontrolne plików, które pozwolą na sprawdzenie ich wiarygodności. Kolejnym pomysłem jest zautomatyzowanie procesu weryfikacji za pomocą zdalnego serwera, a także użycie wyspecjalizowanego CDN do udostępniania paczek zawierających MyBB.
Jak się okazało, winnemu wszystkiego było włamanie do systemu portalowego i downloadu w międzynarodowym centrum MyBB.com. W wyniku luki w frameworku, z którego korzysta leciwy już nieco CMS do obsługi portalu, włamywacz mógł wykonać dowolny kod PHP i dokonać zmian w opublikowanych paczkach. To właśnie było przyczyną pojawienia się niebezpiecznego pliku. Autorzy MyBB zaznaczają, że portal i system downloadu są odizolowane od innych części międzynarodowego suportu, a więc żądne dane użytkowników z np. forum, nie zostały przechwycone i są bezpieczne. Oczywiście nadal zalecamy sprawdzanie plików na własnych forach zgodnie z informacjami zawartymi w newsie dotyczącym zauważonego problemu.
Chociaż MyBB 1.6.5 pojawi się dopiero za kilka tygodni, zespół zastanawia się nad kilkoma dodatkowymi zmianami. Przede wszystkim, od tej pory publikowane będą sumy kontrolne plików, które pozwolą na sprawdzenie ich wiarygodności. Kolejnym pomysłem jest zautomatyzowanie procesu weryfikacji za pomocą zdalnego serwera, a także użycie wyspecjalizowanego CDN do udostępniania paczek zawierających MyBB.