The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.07.2010 20:10  В форуме vBulletin обнаружена серьезная уязвимость

В популярном движке для создания web-форумов vBulletin обнаружена уязвимость, по своей сути больше напоминающая троянскую закладку. При вводе в форме поиска FAQ-модуля ключевого слова "database" на экран выводится информация о параметрах подключения к MySQL серверу (хост, порт, имя БД, логин, пароль). В случае, если доступ к MySQL серверу не ограничен локальным хостом, злоумышленник может легко удаленно подключить к базе данных форума. Проблема устранена в vBulletin 3.8.6-PL1, патч можно загрузить здесь. По заявлению разработчиков подобная уязвимость была вызвана недосмотром - разработчики забыли убрать отладочный код.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: web, security, forum, vBulletin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Dganic, 20:33, 23/07/2010 [ответить] [смотреть все]    [к модератору]
  • +/
    не работает?
     
     
  • 2.3, manwithgrenade, 21:09, 23/07/2010 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +1 +/
    Работает. На одном форуме всю информацию вывело. ;)
     
     
  • 3.10, Аноним123321, 03:09, 24/07/2010 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    можно хотябы скриншот? :-) с затёртыми URL, хотябы?
     
     
  • 4.12, manwithgrenade, 05:00, 24/07/2010 [^] [ответить] [смотреть все]     [к модератору]
  • +/
    Какой-то ближневосточный форум всё лишнее затёр убрал http itmages ru image... весь текст скрыт [показать]
     
  • 1.2, Dganic, 20:41, 23/07/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    Покажите мне форум хде работает? =)
     
  • 1.4, анонимиус, 21:16, 23/07/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    >разработчики забыли убрать отладочный код.

    жестоко

     
  • 1.6, ононим, 21:43, 23/07/2010 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    может быть новости об уязвимостях в продуктах MS начнем писать?
     
     
  • 2.9, XoRe, 22:55, 23/07/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Бывает, что и про них пишут ... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, XoRe, 22:55, 23/07/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    Epic fail, как сказал бы User294 =)

    Кстати, можно припомнить соседнюю тему про обсуждение уведомлений о глюках от Google.
    Вбюллетень вроде платная - разослали бы всем подписчикам инфу о глюке, плюс патч, плюс инструкции, как патчить.
    Напуркуа вот так на весь мир трубить о _такой_ дырени?
    Пока все обновятся, можно столько форумов поломать...
    Ребята из гугля, как обычно, видят дальше остальных.

     
     
  • 2.14, Gular, 07:06, 24/07/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Да, он платный, причем стоит не так уж мало Но дырка жесткая, конечно Кстати, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, XoRe, 14:39, 24/07/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Натыкался В один прекрасный день на форуме я увидел тему с содержимым etc pass... весь текст скрыт [показать]
     
  • 3.19, User294, 15:24, 24/07/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В phpbb 2 x дыр было предостаточно, и не то чтобы все вовремя обновлялись Возмо... весь текст скрыт [показать]
     
  • 1.17, Аноним, 09:04, 24/07/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    на версии VBulletin 3.8.0  не работает
     
  • 1.21, Аноним, 05:40, 25/07/2010 [ответить] [смотреть все]     [к модератору]  
  • +/
    Сейчас пробежался по десятку форумов на VBulletin из гугла - нигде не работает ... весь текст скрыт [показать]
     
     
  • 2.22, slek, 19:03, 25/07/2010 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >>Видимо не все версии уязвимы, читать исходники влом
    >I was first informed it was introduced into 3.8.5, and carried over to 3.8.6, but only 3.8.6 is affected.

    http://www.vbulletin.com/forum/showthread.php?357801-Mega-exploit-in-3.8.6

     
  • 1.23, Frank, 19:01, 27/07/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    А провайдер некрофил, Русский vBulletin v3.8.3, не рботает :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor