The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

23.07.2010 20:10  В форуме vBulletin обнаружена серьезная уязвимость

В популярном движке для создания web-форумов vBulletin обнаружена уязвимость, по своей сути больше напоминающая троянскую закладку. При вводе в форме поиска FAQ-модуля ключевого слова "database" на экран выводится информация о параметрах подключения к MySQL серверу (хост, порт, имя БД, логин, пароль). В случае, если доступ к MySQL серверу не ограничен локальным хостом, злоумышленник может легко удаленно подключить к базе данных форума. Проблема устранена в vBulletin 3.8.6-PL1, патч можно загрузить здесь. По заявлению разработчиков подобная уязвимость была вызвана недосмотром - разработчики забыли убрать отладочный код.

  1. Главная ссылка к новости (http://secunia.com/advisories/...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: web, security, forum, vBulletin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Dganic (?), 20:33, 23/07/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    не работает?
     
     
  • 2.3, manwithgrenade (?), 21:09, 23/07/2010 [^] [ответить]    [к модератору]
  • +1 +/
    Работает. На одном форуме всю информацию вывело. ;)
     
     
  • 3.10, Аноним123321 (ok), 03:09, 24/07/2010 [^] [ответить]    [к модератору]
  • +/
    можно хотябы скриншот? :-) с затёртыми URL, хотябы?
     
     
  • 4.12, manwithgrenade (?), 05:00, 24/07/2010 [^] [ответить]    [к модератору]
  • +/
    Какой-то ближневосточный форум (всё лишнее затёр/убрал):
    http://itmages.ru/image/view/45849/c38a3fbd
     
  • 1.2, Dganic (?), 20:41, 23/07/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Покажите мне форум хде работает? =)
     
  • 1.4, анонимиус (?), 21:16, 23/07/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >разработчики забыли убрать отладочный код.

    жестоко

     
  • 1.6, ононим (?), 21:43, 23/07/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    может быть новости об уязвимостях в продуктах MS начнем писать?
     
     
  • 2.9, XoRe (ok), 22:55, 23/07/2010 [^] [ответить]    [к модератору]  
  • +/
    >может быть новости об уязвимостях в продуктах MS начнем писать?

    Бывает, что и про них пишут =)

     
  • 1.8, XoRe (ok), 22:55, 23/07/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Epic fail, как сказал бы User294 =)

    Кстати, можно припомнить соседнюю тему про обсуждение уведомлений о глюках от Google.
    Вбюллетень вроде платная - разослали бы всем подписчикам инфу о глюке, плюс патч, плюс инструкции, как патчить.
    Напуркуа вот так на весь мир трубить о _такой_ дырени?
    Пока все обновятся, можно столько форумов поломать...
    Ребята из гугля, как обычно, видят дальше остальных.

     
     
  • 2.14, Gular (ok), 07:06, 24/07/2010 [^] [ответить]    [к модератору]  
  • +/
    Да, он платный, причем стоит не так уж мало. Но дырка жесткая, конечно.

    Кстати, кто-нибудь натыкался на дырку в phpbb? Замечал несколько таких форумов, через которые отправлялся спам. Дело похоже именно во взломе самого phpbb.

     
     
  • 3.18, XoRe (ok), 14:39, 24/07/2010 [^] [ответить]    [к модератору]  
  • +/
    >Кстати, кто-нибудь натыкался на дырку в phpbb?

    Натыкался.
    В один прекрасный день на форуме я увидел тему с содержимым /etc/passwd сервера.
    Хакер оказался относительно белым и просто публично указал на дырявость.
    После этого перешел на invision power board.
    Хотя это было в далеком 2004.
    Не буду спорить, если начнете доказывать, что сейчас phpbb секурнее всех остальных)

     
  • 3.19, User294 (ok), 15:24, 24/07/2010 [^] [ответить]    [к модератору]  
  • +/
    В phpbb 2.x дыр было предостаточно, и не то чтобы все вовремя обновлялись. Возможно, некроманты передают вам привет? :)
     
  • 1.17, Аноним (-), 09:04, 24/07/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    на версии VBulletin 3.8.0  не работает
     
  • 1.21, Аноним (-), 05:40, 25/07/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Сейчас пробежался по десятку форумов на VBulletin из гугла - нигде не работает ... весь текст скрыт [показать]
     
     
  • 2.22, slek (ok), 19:03, 25/07/2010 [^] [ответить]    [к модератору]  
  • +/
    >>Видимо не все версии уязвимы, читать исходники влом
    >I was first informed it was introduced into 3.8.5, and carried over to 3.8.6, but only 3.8.6 is affected.

    http://www.vbulletin.com/forum/showthread.php?357801-Mega-exploit-in-3.8.6

     
  • 1.23, Frank (??), 19:01, 27/07/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А провайдер некрофил, Русский vBulletin v3.8.3, не рботает :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor