Зафиксированы атаки на форумы vBulletin с использованием 0-day уязвимости

19.11.2013 10:36

В популярном движке для создания web-форумов vBulletin, используемом многими открытыми проектами (например, на vBulletin основаны официальные форумы FreeBSD и Ubuntu), выявлена уязвимость, позволяющая организовать выполнение кода на сервере и получить доступ к содержимому БД. В настоящее время исправление пока не выпущено производителем и все форумы на базе vBulletin 4.x.x и 5.x.x потенциально могут быть подвержены атаке. Устаревшая ветка 3.x.x проблеме не подвержена (например, на форуме FreeBSD используется не затронутая уязвимостью версия 3.8.7).

Информация об уязвимости пока не вышла из рук злоумышленников, которые инициировали ряд атак против известных ресурсов. В частности, подобные атаки уже зафиксированы против сайта vBulletin.com и форума MacRumors.com. Атака против MacRumors.com привела к утечке около 860 тысяч учетных записей пользователей, включающих хэши паролей и указанные в профиле персональные данные. В результате атаки на vBulletin.com удалось получить root-доступ на одном из серверов проекта. Для защиты от уязвимости пока подходит только временное блокирование работы форума, что уже продемонстрировано на форуме конференции DEF CON.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38463-vbulletin

Ключевые слова: vbulletin

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (36)

1.1, Адекват (ok), 11:05, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Вот сидишь иногда и диву даешься - до чего же у некоторых товарищей кателок варит.

1.2, IMHO (?), 11:15, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> например, на vBulletin основаны официальные форумы FreeBSD теперь я понял почему их форум не работает, ждут исправлений

2.4, Алекс (??), 11:22, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
Новость относиться к версии 4.x.x и 5.х.x

3.34, Аноним (-), 20:12, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Ты, Алекс, невежда.

2.15, Sabakwaka (ok), 19:30, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
>> теперь я понял почему их форум не работает... Работает. Соблаговолите удостовериться. http://forums.freebsd.org/

3.20, Аноним (-), 23:27, 19/11/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Тем хуже для, ибо... > Для защиты от уязвимости пока подходит только временное блокирование работы форума,

4.29, Алекс (??), 11:52, 20/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Вы лучше сюда посмотрите http://ubuntuforums.org - vBulletin 4.2.1

5.30, Алекс (??), 11:55, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Там под 2 миллиона пользователей

1.3, Анонимка (ok), 11:17, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
>vBulletin основаны официальные форумы FreeBSD и Ubuntu Латентные проприетарщики сразу палятся.

2.5, Vaso Petrovich (?), 11:34, 19/11/2013 [^] [^^] [^^^] [ответить]	+3 +/–
> Латентные проприетарщики сразу палятся. Та та, да да, ничего от Вас не скрыть... Ну разве самую малость, код форума, открыт, но вы продолжайте жить в Вашем замечательном мире, там видимо безумно интересно.

3.14, Аноним (-), 17:22, 19/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

4.16, Sabakwaka (ok), 19:31, 19/11/2013 [^] [^^] [^^^] [ответить]

–1 +/–

> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

код форума открыт

5.18, Andrey Mitrofanov (?), 20:36, 19/11/2013 [^] [^^] [^^^] [ответить]

+/–

>> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
> код форума открыт

Типа, поспорил? Пирожок возьми, лучше жевать.

""you may not rent, sublicense, assign, lease, loan, resell for profit, distribute, publish or otherwise share the Software or related materials or derivative works based upon the

6.19, Sabakwaka (ok), 20:55, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
То есть, код vBulletin недоступен?

7.28, MPEG LA (?), 08:29, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
ты разницу между проприетарщиной и закрытостью кода вообще понимаешь?

8.31, Sabakwaka (ok), 13:05, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Вброшен тезис проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть на... текст свёрнут, показать

9.32, Andrey Mitrofanov (?), 13:15, 20/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
И тут Вы торжественно проходите в сад - читать Труды Столмана оттого, что в... текст свёрнут, показать

10.33, Sabakwaka (ok), 18:55, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Aaaaa ... текст свёрнут, показать

5.21, Аноним (-), 23:28, 19/11/2013 [^] [^^] [^^^] [ответить]

+/–

> код форума открыт

Код QNX или там PGP - тоже, "типа, открыт". Но если почитать условия лицензирования то станет понятно что сие таки проприетарь. Хоть и с исходниками.

6.24, Sabakwaka (ok), 00:05, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Код, тем не менее — доступен для аудита. У QNX — нормальное отношение к независимым разработчикам. Входного порога нет. Будешь продавать — будешь делиться.

2.8, vitalif (ok), 13:47, 19/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Ага я вот тоже не понимаю, зачем платить за движок форума, когда все PHPшные движки форумов - одинаковый отстой. IPB например тоже платный, а при этом КОД в БАЗЕ ДАННЫХ хранит (шаблоны со вставками PHP).

3.9, demimurych (ok), 14:23, 19/11/2013 [^] [^^] [^^^] [ответить]	+/–
ВЫ так говорите как будто это что то плохое

4.11, Andrew Kolchoogin (ok), 14:41, 19/11/2013 [^] [^^] [^^^] [ответить]

+4 +/–

Конечно, плохое. Код, который может быть read/write процессом, обслуживающим внешние данные -- это не просто "плохое", это "вырвиглазный 3,14здец".

Первое правило системной безопасности при создании Web-сайтов: ни один из встроенных в Web-сервер интерпретаторов не должен ДАЖЕ В ПРИНЦИПЕ иметь возможность исполнить код из скриптов, доступных на запись пользователю, от которого работает серверный процесс или интерпретатор, а также из скриптов, расположенных в директориях, доступных на запись этим пользователям.

И если программный продукт, который будет работать на Web-сайте, требует динамического обновления кода, он должен быть немедленно послан на йух.

5.22, Аноним (-), 23:30, 19/11/2013 [^] [^^] [^^^] [ответить]

+/–

> И если программный продукт, который будет работать на Web-сайте, требует динамического
> обновления кода, он должен быть немедленно послан на йух.

...ибо старый баг - лучше новых двух :))

3.25, Аноним (-), 00:23, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
> все PHPшные движки форумов - одинаковый отстoй. ...а на чем-то другом нормальных форумных движков вообще не обнаружено. Но да, Вы правы: можно бесплатно взять phpbb3 и в нем дыр как-то не очень то и есть, а как движок он вполне обычный такой форум.

3.27, Аноним (-), 03:29, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
xenforo хоть и такая же лютая проприетарщина, но по качеству кода сильно лучше

1.6, Аноним (-), 11:58, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
800 тысяч учетных запись вот так создаются базы, на основе которых можно сломать любой пароль

1.10, Аноним (-), 14:38, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что эта новость делает на опеннете? Я думал, что этот сайт посвящен открытому программному обеспечению.

2.17, Аноним (-), 20:20, 19/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> Что эта новость делает на опеннете? Я думал, что этот сайт посвящен > открытому программному обеспечению. Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и доступны для аудита.

3.23, Аноним (-), 23:31, 19/11/2013 [^] [^^] [^^^] [ответить]

+/–

> Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и
> доступны для аудита.

Открытое ПО не всегда является свободными: конскую лицензию можно состряпать и при наличии исходников. Вот VB как раз оно.

3.37, некто (ok), 10:31, 21/11/2013 [^] [^^] [^^^] [ответить]	+/–
дабы избежать двусмысленности - можно ссылку пожалуйста на исходники (желательно на гитхабе) было бы интересно провести небольшой аудит...

2.26, Аноним (-), 02:24, 20/11/2013 [^] [^^] [^^^] [ответить]	+/–
Линукс тоже открытый, но под ограничивающей лицензией GPL.

1.12, некто (ok), 16:29, 19/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно не слежу за ним, но если уже платный с дырками... Что за уязвимость хоть? Небось опять весь код к БД без prepare ? Впрочем не удивительно...

2.13, Нанобот (ok), 17:08, 19/11/2013 [^] [^^] [^^^] [ответить]	+1 +/–
>Что за уязвимость хоть? по-моему разработчики сами не знают ещё, ищут

2.35, Аноним (-), 20:15, 20/11/2013 [^] [^^] [^^^] [ответить]

–1 +/–

> вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно
> не слежу за ним, но если уже платный с дырками...
> Что за уязвимость хоть? Небось опять весь код к БД без prepare
> ? Впрочем не удивительно...

Да платный он, конечно. И дырявый. Как только разработчики посчитают, что проект достаточно крут, чтобы стричь его, не сомневайся - это начало конца.

Ждем известий о феерическом взломе Bitrix.

Ждем известий о феерическом взломе nginx.

1.36, некто (ok), 10:00, 21/11/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
парадокс - казалось бы платная вещь: эталон качества, а на практике выясняется что наоборот... Представляю какое восхищение безопасностью вызовут другие платные популярные продукты. Всегда считал, что платность продукта это повод прикрыть неприглядные исходники...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: