![[Obrazek: news.png]](https://blog.mybboard.pl/wp-content/uploads/2011/08/news.png)
Około dwa tygodnie temu informowaliśmy na łamach serwisu o zaktualizowanej paczce MyBB 1.6.4, która usuwała bardzo poważny błąd bezpieczeństwa w jednym z plików stabilnego wydania. Sytuacja była jednak nad wyraz dziwna: paczka ta była dostępna już od dawna, najpierw wszystko było w porządku, a później pobranie tego wydania MyBB zaczęło wiązać się z zagrożeniem bezpieczeństwa, aby ostatecznie znowu wrócić ze wszystkim do porządku. Dzisiaj zespół MyBB postanowił wyjaśnić całe to zamieszanie.
Jak się okazało, winnemu wszystkiego było włamanie do systemu portalowego i downloadu w międzynarodowym centrum MyBB.com. W wyniku luki w frameworku, z którego korzysta leciwy już nieco CMS do obsługi portalu, włamywacz mógł wykonać dowolny kod PHP i dokonać zmian w opublikowanych paczkach. To właśnie było przyczyną pojawienia się niebezpiecznego pliku. Autorzy MyBB zaznaczają, że portal i system downloadu są odizolowane od innych części międzynarodowego suportu, a więc żądne dane użytkowników z np. forum, nie zostały przechwycone i są bezpieczne. Oczywiście nadal zalecamy sprawdzanie plików na własnych forach zgodnie z informacjami zawartymi w newsie dotyczącym zauważonego problemu.
Chociaż MyBB 1.6.5 pojawi się dopiero za kilka tygodni, zespół zastanawia się nad kilkoma dodatkowymi zmianami. Przede wszystkim, od tej pory publikowane będą sumy kontrolne plików, które pozwolą na sprawdzenie ich wiarygodności. Kolejnym pomysłem jest zautomatyzowanie procesu weryfikacji za pomocą zdalnego serwera, a także użycie wyspecjalizowanego CDN do udostępniania paczek zawierających MyBB.
Kiedyś założyłem u was konto: nitan.. zapomniałem, że je mam bo od pewnego czasu zacząłem używać nicku nitan2. Obydwa konto dostały permanentnego bana za multikonto. Niedawno założyłem konto nitanfb ponieważ dwa poprzednie był już zbanowane... znowu dostałem bana. Więc proszę nie banować mojego obecnego konta.. nigdy nie korzystałem z multikonta to była zwykła nieświadomość.
Pierwsze mrozy zaskoczyły dziś nie drogowców, ale nasz hosting, czego efektem były dzisiejsze problemy z dostępem do forum 
W tym momencie problem został rozwiązany i cały serwis powinien działać stabilnie.
Jeżeli zauważycie jakiekolwiek problemy związane z działaniem serwisu zgłaszajcie je w wątku Błędy w serwisie MyBBoard.pl, a w przypadkach ekstremalnych - piszcie na maila: administracja@mybboard.pl.
Witam,
Chciałbym się dowiedzieć wszystkiego czego można na temat Ghazel i jego skryptów, otóż ostatnio na moje forum zainstalowałem jego skrypt (wcześniej go zmodyfikowałem) http://mybbcodes.com/showthread.php?tid=474
I czy może on mi coś zrobić za używanie tego pluginu ?
Pewien Polak się podawał za Ghazel'a jednak nie do końca mu wierzę , napisał że skrypt jest jego i że może mi go sprzedać za 200$. Ale ostatnio przeglądałem mybbcodes.com i zobaczyłem notkę "We have been attacked by Ghazal and other people from Pakistan. So I have implemented a Proxy filter for registrations. " I sobie pomyślałem "Polak będzie atakował strony z Pakistańczykami na której sam wrzucał swoje pluginy".
Mimo wszystko nie chcę mieć jakich kolwiek problemów i mam do Was pytanie, istnieje może jakiś podobny plugin do tego o którym mówię czy nie ?
I ile kosztowało by mnie gdybym chciał żeby ktoś napisał mi taki plugin.
Wiem że wy się znać będziecie, tak więc liczę na waszą pomoc.
Dziękuję i z góry dziękuję za wyczerpujące wypowiedzi.
![[Obrazek: poprawka.png]](https://blog.mybboard.pl/wp-content/uploads/2011/10/poprawka.png)
Bez wątpienia aktualizacja MyBB 1.6.4, jaką opublikowano pod koniec lipca była sporym wydarzeniem - teoretycznie była to tylko kolejna aktualizacja dla gałęzi 1.6, w praktyce jednak wprowadzała ogromną ilość zmian. Naprawiono wtedy ponad 100 zgłoszonych błędów, a dodatkowo zauważalnie zwiększono wydajność skryptu. Niestety okazało się, że tak wielka poprawka nie pozostała bez własnych błędów. W kilka dni po jej opublikowaniu wydano paczkę naprawczą, oznaczaną roboczo jako 1.6.4a. To jednak nie koniec problemów. Autorzy MyBB opublikowali kolejną łatę dla wersji 1.6.4.
Okazało się, że wersja 1.6.4 zawiera w pliku index.php kod, który nie powinien się tam znaleźć i który może otwierać lukę bezpieczeństwa narażając nasze forum na atak. Dostępne paczki zawierające pełne wydanie 1.6.4 oraz pliki aktualizacyjne zostały więc zaktualizowane, ponadto wydano plik pozwalający na samodzielne poprawienie kodu. Developerzy MyBB informują również o tym, że poprawka znalazła się już w plikach wersji 1.6.5, nad którą ciągle trwają prace i która pojawić ma się w przeciągu kilku tygodni. Zalecamy jak najszybsze zaaplikowanie łatki. Możliwe, że wasze forum nie jest podatne na ten bug, wszystko zależy od czasu, w jakim pobieraliście paczkę instalacyjną/aktualizującą.
Jak przeprowadzić aktualizację?:
- Pierwszy sposób to pobranie pełnej zaktualizowanej paczki MyBB 1.6.4:
- Najpierw pobieramy ze strony MyBB.com najnowszą stabilną paczkę
- Następnie umieszczamy na serwerze plik index.php z katalogu Upload pobranej paczki nadpisując oryginalny plik (nie jest wymagane wgrywanie na serwer wszystkich plików!)
- Na koniec usuwamy z serwera katalog install
- Drugi sposób to samodzielna modyfikacja plików:
- Otwieramy w przeglądarce instrukcję modyfikacji
- Następnie przeprowadzamy zawarte w niej instrukcje na pliku index.php z naszego MyBB
- Jeżeli nie możemy odnaleźć wymaganego fragmentu, problem nie dotyczy naszego forum, na koniec usuwamy z serwera katalog install
