|
Verfasser |
Nachricht |
hunne_atilla
Experte
Beiträge: 587
Gruppe: User
Registriert seit: Jan 2011
Status:
Offline
Danke erhalten: 267
|
Neue Mybb Version! 1.6.4 Bugs fixed!!
An alle die es noch nicht wissen und ein Forum besitzen! Es gibt eine neue Mybb Version! 100 Bugs wurden gefixt! (tatschächlich nur 97).
Leider wird diesmal kein Paket zu Verfügung gestellt und man muss alles neu machen bzw. upgraden und nicht updaten, da viele Sachen gefixed wurden.
Links zum Download!
Mybb Deutschland
Dieser Beitrag wurde zuletzt bearbeitet: 27.07.2011 03:12 von hunne_atilla.
|
|
27.07.2011 00:58 |
|
Folgende User bedanken sich: |
|
_Kai_
be linux
Beiträge: 2.680
Gruppe: Programmierung
Registriert seit: Nov 2009
Status:
Abwesend
Danke erhalten: 2809
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
# Bug #1639: MyBB CSRF Vulnerability - Polls
Hat lange gedauert, bis das endlich mal gefixt wurde.
PSVita mit 16gb Memorystick und PlayStation+
+ Uncharted + Army Corps of Hell + Assassins Creed
+ NFS Most Wanted + COD Black Ops + Resistance
+ Everybodys Golf + Modnation Racers
Für PSN ID => PN
|
|
27.07.2011 01:26 |
|
Folgende User bedanken sich: |
|
Superfly
Super Mod
Beiträge: 6.017
Gruppe: Super Moderator
Registriert seit: Jun 2009
Status:
Offline
Danke erhalten: 5976
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
# Bug #1639: MyBB CSRF Vulnerability - Polls
Hat lange gedauert, bis das endlich mal gefixt wurde.
Wurde die nicht schon in 1.6.3 fixed?
|
|
27.07.2011 02:48 |
|
|
|
_Kai_
be linux
Beiträge: 2.680
Gruppe: Programmierung
Registriert seit: Nov 2009
Status:
Abwesend
Danke erhalten: 2809
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
# Bug #1639: MyBB CSRF Vulnerability - Polls
Hat lange gedauert, bis das endlich mal gefixt wurde.
Wurde die nicht schon in 1.6.3 fixed?
Keine Ahnung, steht zumindest im Changelog. Diese Schwachstelle ist mir schon vor einer Weile aufgefallen. Sie ist hier auch noch vorhanden, stellt ja kein großes Risiko dar, werde ich trotzdem bei Gelegenheit mal fixen. Wollte ich sowieso letzt schon machen, deswegen fand ich es so lustig wo ich es im Changelog sah
PSVita mit 16gb Memorystick und PlayStation+
+ Uncharted + Army Corps of Hell + Assassins Creed
+ NFS Most Wanted + COD Black Ops + Resistance
+ Everybodys Golf + Modnation Racers
Für PSN ID => PN
|
|
27.07.2011 03:04 |
|
|
|
QueenX
Legende
Beiträge: 1.330
Gruppe: User
Registriert seit: Jun 2010
Status:
Offline
Danke erhalten: 799
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
# Bug #1639: MyBB CSRF Vulnerability - Polls
Hat lange gedauert, bis das endlich mal gefixt wurde.
konnte man damit nicht ein exploit injecten und durch die vuln. tabellen auslesen ?
Ich kenne mich da nicht aus, aber ich habe mal was in der Richtung gehört.
Das habe ich mal gemacht, hat es was mit dem Vulnerability zutun ?
[LINK ZENSIERT]
Hier habe ich mir die Database auslesen lassen, "Sql286973_5". Funktioniert auch mit "version()"
btw. ist's noch version "5.0.92-enterprise-gpl-log".
Natürlich könnte ich das ganze fortsetzen und an die Tabellen, etc. kommen. Wisst ja wo das hinführt
Dieser Beitrag wurde zuletzt bearbeitet: 27.07.2011 18:59 von QueenX.
|
|
27.07.2011 04:50 |
|
|
|
_Kai_
be linux
Beiträge: 2.680
Gruppe: Programmierung
Registriert seit: Nov 2009
Status:
Abwesend
Danke erhalten: 2809
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
konnte man damit nicht ein exploit injecten und durch die vuln. tabellen auslesen ?
Ich kenne mich da nicht aus, aber ich habe mal was in der Richtung gehört.
Nein, eine CSRF ist etwas komplett anderes.
Schau mal oben den Link zum Ausloggen an, er enthält einen Logoutkey. Wäre dieser Logoutkey nicht notwendig für das Ausloggen, könnte man den Link einfach als [ IMG ] einbinden, und jeder, der den Beitrag aufruft, würde automatisch ausgeloggt werden.
Das habe ich mal gemacht, hat es was mit dem Vulnerability zutun ?
....
Das ist eine klassische UNION SQL Injection. Die WHERE Bedingung wird mit diesem $_GET['id'], das aus der URI stammt befüllt, ohne dass dieser String vorher ausreichend validiert wird, die Variable hätte in diesem Fall einfach als int deklariert werden müssen. UNION ermöglicht das Zusammenfassen der Ergebnisse mehrere SELECT Anweisungen in ein einzelnes Resultat, vorausgesetzt die einzelnen Spalten an entsprechender Stelle der beiden Tabellen sind vom selben Typ
Ist das deine Seite ? Wenn nicht würde ich dich bitten die URL zu zensieren.
PSVita mit 16gb Memorystick und PlayStation+
+ Uncharted + Army Corps of Hell + Assassins Creed
+ NFS Most Wanted + COD Black Ops + Resistance
+ Everybodys Golf + Modnation Racers
Für PSN ID => PN
Dieser Beitrag wurde zuletzt bearbeitet: 27.07.2011 23:15 von _Kai_.
|
|
27.07.2011 16:30 |
|
Folgende User bedanken sich: |
|
QueenX
Legende
Beiträge: 1.330
Gruppe: User
Registriert seit: Jun 2010
Status:
Offline
Danke erhalten: 799
|
RE: Neue Mybb Version! 1.6.4 Bugs fixed!!
Ok habs zensiert. Danke nochmal für die Info.
|
|
27.07.2011 19:00 |
|
|
|