Software::Web
MyBB warnt vor älteren Versionen
Unbekannten sei es laut Aussagen der Entwickler von MyBB gelungen, schadhaften Quellcode in das Projekt einzuschleusen. Das Team warnt deshalb vor kompromittierten Paketen und empfiehlt allen Nutzern des Projektes, ihre Versionen zu überprüfen.
Bereits Anfang des Monats warnten die Entwickler der freien Forensoftware MyBB vor der im Sommer 2011 freigegeben Version 1.6.4 des Systems. Laut damaligen Aussagen enthielt die neue Version nicht nur zahlreiche Neuerungen und Verbesserungen, sondern auch Codestellen, die dazu missbraucht werden konnten, Sicherheitslücken in das System zu reißen. Als Lösung empfahlen die Ersteller, die neueste Version zu nutzen und die Datei index.php durch die neuen Version zu ersetzen. Ferner sollten Administratoren auch das Installationsverzeichnis »install« löschen.
Ein paar Wochen später erklärt die Gruppe nun die Geschehnisse und räumt ein, Opfer eines Einbruchs geworden zu sein. Die Angreifer nutzten das eigene CMS, um Code in das System einzuschleusen, was wiederum zur Veränderung der Release-Pakete führte. Schlussendlich sei es den Angreifern gelungen, die angebotenen Pakete zu manipulieren und eine Hintertür in die Forumssoftware einzubinden. Betroffen von dem Problem war vor allem die Version 1.6.4, die noch bis Anfang des Monats vertrieben wurde. Spätere Versionen seien von dem Problem nicht betroffen, versichern die Entwickler.
Wie das Team weiter versichert, seien keine Foren- oder Accountdaten der Anwender gestohlen worden. Die Rechteverwaltung verhindere demnach, dass Angreifer zwischen den verschiedenen Bereichen Änderungen durchführen können. Trotz allem wollen die Verantwortlichen eine Lehre aus der Situation ziehen und diverse Änderungen durchführen. So sollen unter anderem Veröffentlichung, wie bei vielen Projekten bereits üblich, durch Prüfsummen abgesichert werden. Ferner planen die Verantwortlichen, die Distribution der Pakete nicht mehr selbst durchzuführen, sondern in die Hände eines Dienstleisters zu übergeben. Bis es so weit ist, kann es aber noch eine Weile dauern.