The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.11.2013 10:36  Зафиксированы атаки на форумы vBulletin с использованием 0-day уязвимости

В популярном движке для создания web-форумов vBulletin, используемом многими открытыми проектами (например, на vBulletin основаны официальные форумы FreeBSD и Ubuntu), выявлена уязвимость, позволяющая организовать выполнение кода на сервере и получить доступ к содержимому БД. В настоящее время исправление пока не выпущено производителем и все форумы на базе vBulletin 4.x.x и 5.x.x потенциально могут быть подвержены атаке. Устаревшая ветка 3.x.x проблеме не подвержена (например, на форуме FreeBSD используется не затронутая уязвимостью версия 3.8.7).

Информация об уязвимости пока не вышла из рук злоумышленников, которые инициировали ряд атак против известных ресурсов. В частности, подобные атаки уже зафиксированы против сайта vBulletin.com и форума MacRumors.com. Атака против MacRumors.com привела к утечке около 860 тысяч учетных записей пользователей, включающих хэши паролей и указанные в профиле персональные данные. В результате атаки на vBulletin.com удалось получить root-доступ на одном из серверов проекта. Для защиты от уязвимости пока подходит только временное блокирование работы форума, что уже продемонстрировано на форуме конференции DEF CON.

  1. Главная ссылка к новости (http://threatpost.com/vbulleti...)
  2. OpenNews: Более 10% из миллиона крупнейших web-сайтов небезопасны
  3. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  4. OpenNews: Обновление проприетарных драйверов NVIDIA 304.22. Форум NVIDIA подвергся взлому
  5. OpenNews: Зафиксирована атака на форум свободной игры 0 A.D., пользователям рекомендовано сменить пароли
  6. OpenNews: Форум и web-сервисы дистрибутива Sabayon Linux подверглись взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vbulletin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Адекват, 11:05, 19/11/2013 [ответить] [смотреть все]    [к модератору]
  • +2 +/
    Вот сидишь иногда и диву даешься - до чего же у некоторых товарищей кателок варит.
     
  • 1.2, IMHO, 11:15, 19/11/2013 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    > например, на vBulletin основаны официальные форумы FreeBSD

    теперь я понял почему их форум не работает, ждут исправлений

     
     
  • 2.4, Алекс, 11:22, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +/
    Новость относиться к версии 4.x.x и 5.х.x

     
     
  • 3.34, Аноним, 20:12, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    Ты, Алекс, невежда.
     
  • 2.15, Sabakwaka, 19:30, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Работает Соблаговолите удостовериться http forums freebsd org ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 23:27, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Тем хуже для, ибо ... весь текст скрыт [показать]
     
     
  • 4.29, Алекс, 11:52, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Вы лучше сюда посмотрите http://ubuntuforums.org - vBulletin 4.2.1
     
     
  • 5.30, Алекс, 11:55, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Там под 2 миллиона пользователей
     
  • 1.3, Анонимка, 11:17, 19/11/2013 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Латентные проприетарщики сразу палятся ... весь текст скрыт [показать]
     
     
  • 2.5, Vaso Petrovich, 11:34, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Та та, да да, ничего от Вас не скрыть Ну разве самую малость, код форума, отк... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Аноним, 17:22, 19/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
     
     
  • 4.16, Sabakwaka, 19:31, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    код форума открыт ... весь текст скрыт [показать]
     
     
  • 5.18, Andrey Mitrofanov, 20:36, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Типа, поспорил Пирожок возьми, лучше жевать you may not rent, sublicense, as... весь текст скрыт [показать]
     
     
  • 6.19, Sabakwaka, 20:55, 19/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    То есть, код  vBulletin недоступен?
     
     
  • 7.28, MPEG LA, 08:29, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ты разницу между проприетарщиной и закрытостью кода вообще понимаешь?
     
     
  • 8.31, Sabakwaka, 13:05, 20/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вброшен тезис проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть на... весь текст скрыт [показать]
     
     
  • 9.32, Andrey Mitrofanov, 13:15, 20/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    И тут Вы торжественно проходите в сад - читать Труды Столмана оттого, что в... весь текст скрыт [показать]
     
     
  • 10.33, Sabakwaka, 18:55, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Aaaaa...
     
  • 5.21, Аноним, 23:28, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Код QNX или там PGP - тоже, типа, открыт Но если почитать условия лицензирова... весь текст скрыт [показать]
     
     
  • 6.24, Sabakwaka, 00:05, 20/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Код, тем не менее 8212 доступен для аудита У QNX 8212 нормальное отношени... весь текст скрыт [показать]
     
  • 2.8, vitalif, 13:47, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ага я вот тоже не понимаю, зачем платить за движок форума, когда все PHPшные дви... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, demimurych, 14:23, 19/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ВЫ так говорите как будто это что то плохое
     
     
  • 4.11, Andrew Kolchoogin, 14:41, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Конечно, плохое Код, который может быть read write процессом, обслуживающим вне... весь текст скрыт [показать]
     
     
  • 5.22, Аноним, 23:30, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ибо старый баг - лучше новых двух ... весь текст скрыт [показать]
     
  • 3.25, Аноним, 00:23, 20/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а на чем-то другом нормальных форумных движков вообще не обнаружено Но да, В... весь текст скрыт [показать]
     
  • 3.27, Аноним, 03:29, 20/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    xenforo хоть и такая же лютая проприетарщина, но по качеству кода сильно лучше
     
  • 1.6, Аноним, 11:58, 19/11/2013 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    800 тысяч учетных запись вот так создаются базы, на основе которых можно сломать... весь текст скрыт [показать]
     
  • 1.10, Аноним, 14:38, 19/11/2013 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Что эта новость делает на опеннете Я думал, что этот сайт посвящен открытому пр... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 20:20, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Сюрприз, но открытое ПО не всегда является бесплатным Исходники vBulletin откры... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 23:31, 19/11/2013 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Открытое ПО не всегда является свободными конскую лицензию можно состряпать и п... весь текст скрыт [показать]
     
  • 3.37, некто, 10:31, 21/11/2013 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    дабы избежать двусмысленности - можно ссылку пожалуйста на исходники (желательно на гитхабе) было бы интересно провести небольшой аудит...
     
  • 2.26, Аноним, 02:24, 20/11/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Линукс тоже открытый, но под ограничивающей лицензией GPL.
     
  • 1.12, некто, 16:29, 19/11/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно не слежу за ним, но если уже платный с дырками...
    Что за уязвимость хоть? Небось опять весь код к БД без prepare ? Впрочем не удивительно...
     
     
  • 2.13, Нанобот, 17:08, 19/11/2013 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    >Что за уязвимость хоть?

    по-моему разработчики сами не знают ещё, ищут

     
  • 2.35, Аноним, 20:15, 20/11/2013 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Да платный он, конечно И дырявый Как только разработчики посчитают, что проект... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, некто, 10:00, 21/11/2013 [ответить] [смотреть все]    [к модератору]  
  • +/
    парадокс - казалось бы платная вещь: эталон качества, а на практике выясняется что наоборот... Представляю какое восхищение безопасностью вызовут другие платные популярные продукты.

    Всегда считал, что платность продукта это повод прикрыть неприглядные исходники...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor