Webboard

Pełna wersja: Autorzy MyBB tłumaczą zamieszanie związane z wersją 1.6.4
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.
Zobacz w Portalu - Autorzy MyBB tłumaczą zamieszanie związane z wersją 1.6.4[Obrazek: news.png]Około dwa tygodnie temu informowaliśmy na łamach serwisu o zaktualizowanej paczce MyBB 1.6.4, która usuwała bardzo poważny błąd bezpieczeństwa w jednym z plików stabilnego wydania. Sytuacja była jednak nad wyraz dziwna: paczka ta była dostępna już od dawna, najpierw wszystko było w porządku, a później pobranie tego wydania MyBB zaczęło wiązać się z zagrożeniem bezpieczeństwa, aby ostatecznie znowu wrócić ze wszystkim do porządku. Dzisiaj zespół MyBB postanowił wyjaśnić całe to zamieszanie.

Jak się okazało, winnemu wszystkiego było włamanie do systemu portalowego i downloadu w międzynarodowym centrum MyBB.com. W wyniku luki w frameworku, z którego korzysta leciwy już nieco CMS do obsługi portalu, włamywacz mógł wykonać dowolny kod PHP i dokonać zmian w opublikowanych paczkach. To właśnie było przyczyną pojawienia się niebezpiecznego pliku. Autorzy MyBB zaznaczają, że portal i system downloadu są odizolowane od innych części międzynarodowego suportu, a więc żądne dane użytkowników z np. forum, nie zostały przechwycone i są bezpieczne. Oczywiście nadal zalecamy sprawdzanie plików na własnych forach zgodnie z informacjami zawartymi w newsie dotyczącym zauważonego problemu.

Chociaż MyBB 1.6.5 pojawi się dopiero za kilka tygodni, zespół zastanawia się nad kilkoma dodatkowymi zmianami. Przede wszystkim, od tej pory publikowane będą sumy kontrolne plików, które pozwolą na sprawdzenie ich wiarygodności. Kolejnym pomysłem jest zautomatyzowanie procesu weryfikacji za pomocą zdalnego serwera, a także użycie wyspecjalizowanego CDN do udostępniania paczek zawierających MyBB.
Trochę mnie to martwi, choćby ze względu na to, że kto jak kto, ale oni powinni zadbać o bezpieczeństwo wydawanych paczek. Po raz kolejny się do czegoś przyznają, co zacnym zachowaniem jest, natomiast zastanawiam się cały czas - co z tym robią? Mówienie o tym, że portal jest przestarzały i ma dziury niewiele da :sciana: Potrzeba rozwiązań!
"Po raz kolejny się do czegoś przyznają" - Czyli to nie pierwszy raz?
lepiej niech mówią i wyjaśniają niż mają chować głowę w piasek i tłumaczyć sie treścią urwaną z choinki jak to politycy polscy xd, jednakże uważam że powinni wyciągnąć wnioski i zacząć udoskonalać mechanizm skryptu jak też serwery zabezpieczyć dobrym systemem obronnym (zawsze jakieś zabezpieczenie jest)
Ciekawe czy nie zostały zmodyfikowane jeszcze inne pliki przez które potencjalny "hacker" ma otwartą furtkę, a ekipa mybb o tym nie wie.

Pora robić wreszcie tą konwersje na phpbb3 :)
bb3 też łatwo złamać, tylko tyle że mybb jest łatne na bierząco a bb3 już dawno nie wspierane
Atak na ich stronę to nie to samo, co ewentualne dziury w skrypcie. Dobrze, że sprawę wyjaśniono i szybko zareagowano zalecając sprawdzanie plików. Oczywiście problem nie dotyczył też np. paczki pobieranej z MyBB PL, bo była ona dodana przed włamaniem (z tego co kojarzę), tak samo paczka zawierająca od razu polonizację.
Coś z tym jednak muszą zrobić. Poza tym skoro włamanie poszło na system downloadu, to kto wie, czy i popularne pluginy nie zostały zmodyfikowane (wcale bym się nie zdziwił, gdyby złośliwy kod dodano np. do bardzo popularnego Google SEO).


(27.10.2011, 16:09)krzysztof903 napisał(a): [ -> ]bb3 też łatwo złamać, tylko tyle że mybb jest łatne na bierząco a bb3 już dawno nie wspierane

Małe sprostowanko:
Zarówno Burning Board 3 o którym piszesz (BB3 to skrót od Burning Board a nie od phpBB!), jak i phpBB 3 są na bieżąco aktualizowane i ciągle rozwijane.

Dla poparcia słów link do newsa o BB 3.1.6:
http://www.woltlab.com/news/Burning-Boar...eased.html

Tracker phpBB 3:
http://tracker.phpbb.com/browse/PHPBB3#s...mary-panel
Dopisze moje spostrzeżenia:
mybb ma dużo ostatnio luk jak i luk w pluginach, ostatnio dużo zniknęło z oficjalnego suportu

dosłownie 3 miesiące i już 5-4 poprawek samego skryptu

podam przykład phpbb3, można porównać, bo jak wszyscy piszą jest bardziej odporny na luki bezpieczeństwa
phpBB 3.0.10 wydane → 1» 2 sty 2012,
phpBB 3.0.9 → 11 lip 2011,
phpBB 3.0.8 21 lis 2010,
phpBB 3.0.7 1 mar 2010,
phpBB 3.0.6 17 lis 2009,

moja przygoda z mybb jest z konwersji phpbb3 3.06

Porównanie : może jakby mybb skupiło się na samej szczelności skryptu a pluginy odseparować , nawet inna strona suportu, wgrywać na własną odpowiedzialność , wyszło by lepiej .

Taka sytuacja przypomina mi phpbb przemo , każdy robi pluginy i kółko się zapętla, bo luki ,lub rozwiązania przechodzą na sam skrypt mybb.

Teraz się zastanawiam kiedy znów ,wgram aktualizacje z nowym numerkiem może jutro? wczoraj mybb 1.6.6

Nie jestem zwolennikiem phpbb3 czy jakiegoś innego , w mybb zostałem , poprzez pluginy wgrywam i zapominam o modyfikacji w plikach i style oraz podział w plikach jest łatwiejszy do modyfikacji.
Sytuacja dotycząca pluginów/modów dla obu skryptów jest zupełnie inna. W wypadku phpBB3 mody muszą najpierw przejść dosyć restrykcyjną walidację, bez tego nie będą dodane do bazy modów:
http://blog.phpbb.com/2009/10/05/mod-val...-workflow/

W wypadku MyBB wygląda to nieco inaczej:
http://community.mybb.com/thread-90496-p...#pid660562