SMF 1.1.9 und 2.0 RC1-1 - Patch und Tool gegen krisbarteo-Problem veröffentlicht

[Jorin]

Noch gestern Nacht wurde der sehnlichst erwartete Patch für das krisbarteo-Problem veröffentlicht. Dieser Patch schließt eine Sicherheitslücke in der Avatar-Upload-Funktionalität des SMF.

Es wird dringend empfohlen, das eigene Forum auf den aktuellen Stand zu bringen. Ein Update ist wie üblich per Paketmanager möglich. Weitere Informationen sowie die Patches als Zip-Archive findest du im originalen Beitrag.

[Jorin]

Noch eine Ergänzung: Simple Machines stellt betroffenen Administratoren ein kleines Tool zum Entfernen des bösartigen Codes von krisbarteo zur Verfügung. Weitere Informationen sowie die Anleitung, wie das Tool zu benutzen ist, findest du im originalen Artikel.

[Bruce]

Hm, ich finde das Tool dort nicht. 

Ist das da nicht mehr vorhanden?

[stard]

bist dort registriert?

[Bruce]

 
Ja bin ich, und nach dem Login kann ich sie auch sehen.

Danke für den Denkanstoß. 

[stard]

Wurde dein Problem gelöst, markiere das Thema bitte dementsprechend. Eine Anleitung hierzu findest du hier. Danke.

bitte

[Jorin]

Wie soll er denn hier als gelöst markieren? 

[stard]

öhm. äh.

Ist mein Beitrag Blödsinn, markiere das Thema bitte dementsprechend. Eine Anleitung hierzu findest du nirgendwo. Danke.

[xduugu]

War ja scheinbar was größeres:

http://www.heise.de/newsticker/Analyse-MIME-Sniffing-Probleme-bei-PHP-Anwendungen--/meldung/139805
http://www.securityfocus.com/archive/1/503867/30/60/threaded

Was noch ganz interessant ist:

Simplemachines reacted after a reminder on My 7th. The fix with
somewhat hidden credit
was published on May 20th; the issue was left unpatched in the
download packages.
Only the manual update instructions contained a correct solution.
After notifying
the vendor about the error, the packages were fixed; however, without
any visible
notificatin for users. It can be assumed that a large number of installations is
left vulnerable because of this oversight.

[Jorin]

Simplemachines reacted after a reminder on My 7th. The fix with somewhat hidden credit was published on May 20th; the issue was left unpatched in the download packages. Only the manual update instructions contained a correct solution. After notifying the vendor about the error, the packages were fixed; however, without any visible notificatin for users. It can be assumed that a large number of installations is left vulnerable because of this oversight.

Könnte durchaus sein. Die Öffentlichkeitsarbeit lief/läuft da wirklich nicht optimal.

Edit: Zwei Dumme, ein Gedanke! 

[stard]

darf ich das so verstehen das es zwei 1.1.9 patches gibt und manche den alten installiert haben? oO hat jemand einen überblick darüber welchen teil des updates das genau betrifft?

[xduugu]

Es scheint um das 2.0 zu gehen, aber wahrscheinlich ist es nicht schlecht auch das 1.1.9 mal zu checken.

Fix Information
***************

Users of SMF 1.1 should update to SMF 1.1.19; users of SMF RC1 should
use the manual instructions to update to 2.0RC1.1.

Timeline:
***********
April 30th 2009: Contacted Vendor
May 4th 2009: Re-contacted Vendor due to no reaction
May 7th 2009: Vendor reaction
May 20th 2009: 1.1.19 released ; 2.0RC1 left vulnerable
May 27th 2009: Notified vendor about faulty fix
May 28th 2009: Vendor fixes packaging
May 28th 2009: Full Disclosure

[Neakro]

Ich habe mich schon beim Auftauchen der Lücke im IE gefragt, wie man das ausnutzen könnte. Jetzt wo es gemacht wurde, ist es natürlich klar. Aber wir wissen jetzt auch warum manche Foren gehackt wurden und manche nicht, jenachdem ob der Admin den IE benutzte oder nicht.


Btw: Warum schreiben alle 1.1.18?

Nur die Entwickler von WBB haben bislang noch keine Updates präsentiert.

War ja klar...

[Jorin]

Die Links im ACP zum Updaten waren korrigiert. Die Dateien, die an der Meldung im Forum angehängt waren, nicht. So hatte ich das damals gelesen - glaube ich. 

[stard]

naja wenn es eh nur 2.0 beträfe/betraf kann man darüber hinwegsehen - das ist ja offiziell immer noch nicht freigegeben. hatte schon gedacht wir müßten alle 1.1.9 foren nochmal von hand überprüfen ...

[Petra]

moin moin

ich hätte da eine Verständnisfrage:

ich benutze GsD keinen IE.
Zwei meiner Forenupgrades waren gleich das Full Install 2.0 RC1-1.
Könnte mir bzw. meinen Webseiten jetzt irgendwas passieren?
Attachments, Avatars waren bis zum letzten WE ohnehin gesperrt,
User konnten sich noch nie bei uns sofort registrieren/aktivieren.
Will sagen, Freischaltung durch Admin.

[stard]

ich würde zur sicherheit das update noch einmal deinstallieren und neu installieren, dann solltest du soweit ich das sehe auf der sicheren seite sein. wenn du ganz viel zeit hast kannst du ja die manuelle installationsanleitung durchgehen und überprüfen ob das bei dir schon genau so ist wie dort beschrieben ...

[Petra]

moin

puh, das wird wieder 'ne lange Nacht...
Danke für die Info.

[Jorin]

Na komm, du willst es doch nicht anders. Hm? Hmmm? So ein bißchen süchtig, hm? Na? Nein? 

[Petra]

erwischt 

Nee, sowas will ich nicht...
Will nur schöne Sachen, wie konvertieren z.B. 

[Tarantino]

Muß ich das Update auch starten wenn ich mir die Software erst letzte Woche instaliert habe oder war zu dem Zeitpunkt der Sicherheitsfehler aus der Software schon entfernt?

[Jorin]

Du solltest ja die 1.1.9 installiert haben - Dann bist du sicher.

[Tarantino]

Habe 2.0 RC1-1.

[Jorin]

Oder so. Die 2.0 RC 1 wäre noch betroffen, die 2.0 RC 1-1 ist das Update. Also alles im grünen Bereich.