Forum di Matriz
Vulnerabilità di MyBB 1.6.4 - Versione stampabile

+- Forum di Matriz (https://www.matriz.it/forum)
+-- Forum: Programmazione Web (https://www.matriz.it/forum/forum-26.html)
+--- Forum: CMS, forum, blog e altri script pronti (https://www.matriz.it/forum/forum-65.html)
+--- Discussione: Vulnerabilità di MyBB 1.6.4 (/thread-582.html)

Vulnerabilità di MyBB 1.6.4 - Mattia - 14/10/2011

La versione 1.6.4 di MyBB è l'ultima versione disponibile del forum ed è stata pubblicata alla fine di luglio 2011. Questa versione ha portato numerosi aggiornamenti per correggere vari problemi e aumentare le performance.
Purtroppo nel file "index.php" è stato contaminato con del codice che potrebbe causare problemi di sicurezza.
Per risolvere questo problema di sicurezza (i programmatori di MyBB non sono ancora riusciti a pubblicare MyBB 1.6.5 perché devono ancora lavorarci) si deve correggere a mano il file "index.php" che si trova nella root (la cartella base) del forum.
Per farlo ci sono due possibilità. La prima è la seguente:
  1. scaricare l'ultima versione di MyBB dal sito ufficiale;
  2. estrarre dall'archivio ZIP scaricato il file "index.php" che si trova nella cartella "Upload";
  3. sovrascrivere il file "index.php" del forum con quello estratto dall'archivio ZIP;
  4. cancellare la cartella "install" del forum, se presente.

Il secondo metodo è il seguente:
  1. aprire il file "index.php" del forum con un editor di testo (va benissimo anche il Blocco Note di Windows);
  2. cercare queste linee di codice:
    Codice PHP:
    //Checks to make sure the user can login; they haven't had too many tries at logging in.
    //Function call is not fatal
    if(login_attempt_check(false) !== false)
    {
        eval(    "\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);

  3. sostituirle con queste:
    Codice PHP:
    //Checks to make sure the user can login; they haven't had too many tries at logging in.
    //Function call is not fatal
    if(login_attempt_check(false) !== false)
    {
        eval(    "\$loginform = \"".$templates->get("index_loginform")."\";");

  4. cancellare la cartella "install" del forum, se presente.

Se avete rinominato il file "index.php" per utilizzare il portale come home page, dovete modificare quello che era in precedenza il file "index.php" e che adesso è stato rinominato.

RE: Vulnerabilità di MyBB 1.6.4 - Naroku95 - 31/10/2011

Qualcuno qui, può gentilmente spiegarmi a che cosa serve questa minuziosa modifica al codice php? Comunque, perché non inviate il bug direttamente allo staff di MyBB per la 1.6.5 se non lo è stato già? Potrebbe ritornare utile a tutti!



RE: Vulnerabilità di MyBB 1.6.4 - Mattia - 31/10/2011

Questa modifica al codice dovrebbe evitare l'uscita di alcuni possibili errori quando un utente prova a fare il login più volte.
I programmatori di MyBB sono già al corrente di questo bug che verrà corretto con la versione 1.6.5 che uscirà tra qualche settimana. Comunque chi scarica la versione 1.6.4 dal sito ufficiale di MyBB, ha già la modifica inclusa.