Articulo Original(Ingles): Some closure on the 1.6.4 Security Vulnerability
A poco más de dos semanas se anunció el descubrimiento de una vulnerabilidad bastante importante que
puede haber afectado a algunos usuarios. En el momento no había mucha incertidumbre acerca de las circunstancias, pero creo que es hora de dar seguimiento a nuestro anuncio original, con lo que desde entonces ha venido a la mano. Espero que este responda a todas las cuestiones pendientes, aliviar un poco la preocupación, y lo más importante, espero que todos verifiquen el estado de sus instalaciones para asegurarse de que no son vulnerables.
En primer lugar, puedo confirmar que el código malicioso fue eliminado, el paquete de mybb fue modificado en el servidor por parte de una tercera persona (Persona ajena o sin acceso al servidor). Por lo tanto, es importante que usted siga las instrucciones en este
tema para asegurar que su instalación no es vulnerable.
El paquete de lanzamiento fue limpiado, obviamente, tan pronto como se dio la alarma, por lo que si ha descargado MyBB después de la primera entrada del blog (6 de octubre del 2011), entonces no tiene que preocuparse. No estamos seguros exactamente cuando los paquetes de lanzamiento fueron manipulados, sin embargo, si ha descargado el paquete poco después de la liberación, entonces no podrá haber realizado tanto.
Hay, desgraciadamente,
una vulnerabilidad en el CMS en los permisos de la página de inicio de MyBB.com y el sistema de descargas. Utilizando esta vulnerabilidad
un hacker fue capaz de añadir una puerta trasera a uno de los archivos, lo que lee permite ejecutar PHP de su elección y manipular los paquetes de la liberación de Mybb. Los códigos del CMS no no tienen ninguna relación con los códigos de MyBB por lo que no debe de preocuparse de que su sitio sufra un ataque por este Hacker, Mybb esta libre de código malicioso. El servidor está configurado también para aislar a los subdominios pertenecientes a la página web MyBB, por lo que es poco probable que los datos de los foros de la comunidad o de otras secciones del sitio sean vistos por el Hacker.
A causa de estos acontecimientos, estamos intentando hacer varios cambios. Por lo menos tenemos la intención de publicar el numero de descargas después de la modificación del sistema Mybb en el cual se introdujo el código malicioso para tratar de controlar y evitar los sitios infectados.
MyBB 1.6.5 debe ser liberado en las próximas semanas, pero hasta entonces, por favor asegúrese de seguir las instrucciones de la primera entrada del blog para asegurar su tablero.
Clic Aqui para ver en español.
Una vez más, gracias por su continuo apoyo.
MyBB Group
Esto fue lo que dijo TimB. En el blog oficial de Mybb.com asi que ha esperar mybb 1.6.5
Traduccion por Gustavo R. y Google.com