Około dwa tygodnie temu informowaliśmy na łamach serwisu o zaktualizowanej paczce MyBB 1.6.4, która usuwała bardzo poważny błąd bezpieczeństwa w jednym z plików stabilnego wydania. Sytuacja była jednak nad wyraz dziwna: paczka ta była dostępna już od dawna, najpierw wszystko było w porządku, a później pobranie tego wydania MyBB zaczęło wiązać się z zagrożeniem bezpieczeństwa, aby ostatecznie znowu wrócić ze wszystkim do porządku. Dzisiaj zespół MyBB postanowił wyjaśnić całe to zamieszanie.
Jak się okazało, winnemu wszystkiego było włamanie do systemu portalowego i downloadu w międzynarodowym centrum MyBB.com. W wyniku luki w frameworku, z którego korzysta leciwy już nieco CMS do obsługi portalu, włamywacz mógł wykonać dowolny kod PHP i dokonać zmian w opublikowanych paczkach. To właśnie było przyczyną pojawienia się niebezpiecznego pliku. Autorzy MyBB zaznaczają, że portal i system downloadu są odizolowane od innych części międzynarodowego suportu, a więc żądne dane użytkowników z np. forum, nie zostały przechwycone i są bezpieczne. Oczywiście nadal zalecamy sprawdzanie plików na własnych forach zgodnie z informacjami zawartymi w newsie dotyczącym zauważonego problemu.
Chociaż MyBB 1.6.5 pojawi się dopiero za kilka tygodni, zespół zastanawia się nad kilkoma dodatkowymi zmianami. Przede wszystkim, od tej pory publikowane będą sumy kontrolne plików, które pozwolą na sprawdzenie ich wiarygodności. Kolejnym pomysłem jest zautomatyzowanie procesu weryfikacji za pomocą zdalnego serwera, a także użycie wyspecjalizowanego CDN do udostępniania paczek zawierających MyBB.
Bez wątpienia aktualizacja MyBB 1.6.4, jaką opublikowano pod koniec lipca była sporym wydarzeniem – teoretycznie była to tylko kolejna aktualizacja dla gałęzi 1.6, w praktyce jednak wprowadzała ogromną ilość zmian. Naprawiono wtedy ponad 100 zgłoszonych błędów, a dodatkowo zauważalnie zwiększono wydajność skryptu. Niestety okazało się, że tak wielka poprawka nie pozostała bez własnych błędów. W kilka dni po jej opublikowaniu wydano paczkę naprawczą, oznaczaną roboczo jako 1.6.4a. To jednak nie koniec problemów. Autorzy MyBB opublikowali kolejną łatę dla wersji 1.6.4.
Okazało się, że wersja 1.6.4 zawiera w pliku index.php kod, który nie powinien się tam znaleźć i który może otwierać lukę bezpieczeństwa narażając nasze forum na atak. Dostępne paczki zawierające pełne wydanie 1.6.4 oraz pliki aktualizacyjne zostały więc zaktualizowane, ponadto wydano plik pozwalający na samodzielne poprawienie kodu. Developerzy MyBB informują również o tym, że poprawka znalazła się już w plikach wersji 1.6.5, nad którą ciągle trwają prace i która pojawić ma się w przeciągu kilku tygodni. Zalecamy jak najszybsze zaaplikowanie łatki. Możliwe, że wasze forum nie jest podatne na ten bug, wszystko zależy od czasu, w jakim pobieraliście paczkę instalacyjną/aktualizującą.
Jak przeprowadzić aktualizację?:
- Pierwszy sposób to pobranie pełnej zaktualizowanej paczki MyBB 1.6.4:
- Najpierw pobieramy ze strony MyBB.com najnowszą stabilną paczkę
- Następnie umieszczamy na serwerze plik index.php z katalogu Upload pobranej paczki nadpisując oryginalny plik (nie jest wymagane wgrywanie na serwer wszystkich plików!)
- Na koniec usuwamy z serwera katalog install
- Drugi sposób to samodzielna modyfikacja plików:
- Otwieramy w przeglądarce instrukcję modyfikacji
- Następnie przeprowadzamy zawarte w niej instrukcje na pliku index.php z naszego MyBB
- Jeżeli nie możemy odnaleźć wymaganego fragmentu, problem nie dotyczy naszego forum, na koniec usuwamy z serwera katalog install
W ostatnim czasie grupa developerska MyBB wydała nową wersję narzędzia Merge System, które jak sama nazwa wskazuje, służy do łączenia for bazujących na MyBB. Po prawdzie jest ono jednak znane z innego powodu – powala bowiem na konwersję forum z innych skryptów, takich jak phpBB, IPB, vBulletin czy SMF właśnie do MyBB. Najnowsza wersja oznaczona numerkiem 1.6.2 to wydanie poświęcone naprawie zgłoszonych błędów. Łącznie rozwiązano 21 problemów, jakie zostały opisane przez użytkowników w oficjalnym redmine zespołu MyBB.
Poprawiono między innymi uprawnienia grup w wypadku SMF1/SMF2 po imporcie, metodę sortowania postów i tematów w niektórych modułach, konwersję haseł użytkowników w wypadku przenoszenia danych z punBB, a także „popularny” ostatnio błąd związany ze słowami kluczowymi TYPE oraz ENGINE w bazie danych MySQL w wersji 5.5+. Najnowsza wersja Merge Systemu jest oczywiście dostępna do pobrania – jeżeli myślicie o konwersji z innego skryptu lub łączeniu dwóch for MyBB, zapraszamy do jego pobierania.
Download:
Wraz z wydaniem aktualizacji MyBB do wersji 1.6.4, Polska Paczka MyBB również została zaktualizowana. Czym różni się Polska Paczka MyBB od zwykłej paczki MyBB? Polska Paczka MyBB to kompletne tłumaczenie skryptu MyBB, zawierające przetłumaczone grafiki, komunikaty oraz instalator. Polska Paczka MyBB również znacząco przyspiesza i ułatwia instalację skryptu w naszym ojczystym języku. MyBB od razu po instalacji komunikuje się z użytkownikami w języku polskim. Nie ma potrzeby wchodzenia do panelu administratora i zmieniania ustawień. Polską Paczkę MyBB w wersji 1.6.4 można pobrać z naszego działu Download – http://forum.mybboard.pl/watek-mybb-polska-paczka-mybb-1-6-4a_17268. Wykryte błędy w tłumaczeniu, można zgłaszać w dziale Błędy w tłumaczeniu do MyBB.
Zapraszamy do pobierania i instalowania!