The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

19.11.2013 10:36  Зафиксированы атаки на форумы vBulletin с использованием 0-day уязвимости

В популярном движке для создания web-форумов vBulletin, используемом многими открытыми проектами (например, на vBulletin основаны официальные форумы FreeBSD и Ubuntu), выявлена уязвимость, позволяющая организовать выполнение кода на сервере и получить доступ к содержимому БД. В настоящее время исправление пока не выпущено производителем и все форумы на базе vBulletin 4.x.x и 5.x.x потенциально могут быть подвержены атаке. Устаревшая ветка 3.x.x проблеме не подвержена (например, на форуме FreeBSD используется не затронутая уязвимостью версия 3.8.7).

Информация об уязвимости пока не вышла из рук злоумышленников, которые инициировали ряд атак против известных ресурсов. В частности, подобные атаки уже зафиксированы против сайта vBulletin.com и форума MacRumors.com. Атака против MacRumors.com привела к утечке около 860 тысяч учетных записей пользователей, включающих хэши паролей и указанные в профиле персональные данные. В результате атаки на vBulletin.com удалось получить root-доступ на одном из серверов проекта. Для защиты от уязвимости пока подходит только временное блокирование работы форума, что уже продемонстрировано на форуме конференции DEF CON.

  1. Главная ссылка к новости (http://threatpost.com/vbulleti...)
  2. OpenNews: Более 10% из миллиона крупнейших web-сайтов небезопасны
  3. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  4. OpenNews: Обновление проприетарных драйверов NVIDIA 304.22. Форум NVIDIA подвергся взлому
  5. OpenNews: Зафиксирована атака на форум свободной игры 0 A.D., пользователям рекомендовано сменить пароли
  6. OpenNews: Форум и web-сервисы дистрибутива Sabayon Linux подверглись взлому
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vbulletin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Адекват (ok), 11:05, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Вот сидишь иногда и диву даешься - до чего же у некоторых товарищей кателок варит.
     
  • 1.2, IMHO (?), 11:15, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    > например, на vBulletin основаны официальные форумы FreeBSD

    теперь я понял почему их форум не работает, ждут исправлений

     
     
  • 2.4, Алекс (??), 11:22, 19/11/2013 [^] [ответить]    [к модератору]
  • +/
    Новость относиться к версии 4.x.x и 5.х.x

     
     
  • 3.34, Аноним (-), 20:12, 20/11/2013 [^] [ответить]    [к модератору]
  • +/
    Ты, Алекс, невежда.
     
  • 2.15, Sabakwaka (ok), 19:30, 19/11/2013 [^] [ответить]    [к модератору]
  • +/
    >> теперь я понял почему их форум не работает...

    Работает. Соблаговолите удостовериться.
    http://forums.freebsd.org/

     
     
  • 3.20, Аноним (-), 23:27, 19/11/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    Тем хуже для, ибо...

    > Для защиты от уязвимости пока подходит только временное блокирование работы форума,

     
     
  • 4.29, Алекс (??), 11:52, 20/11/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы лучше сюда посмотрите http://ubuntuforums.org - vBulletin 4.2.1
     
     
  • 5.30, Алекс (??), 11:55, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    Там под 2 миллиона пользователей
     
  • 1.3, Анонимка (ok), 11:17, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    >vBulletin основаны официальные форумы FreeBSD и Ubuntu

    Латентные проприетарщики сразу палятся.

     
     
  • 2.5, Vaso Petrovich (?), 11:34, 19/11/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Латентные проприетарщики сразу палятся.

    Та та, да да, ничего от Вас не скрыть... Ну разве самую малость, код форума, открыт, но вы продолжайте жить в Вашем замечательном мире, там видимо безумно интересно.

     
     
  • 3.14, Аноним (-), 17:22, 19/11/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
     
     
  • 4.16, Sabakwaka (ok), 19:31, 19/11/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

    код форума открыт

     
     
  • 5.18, Andrey Mitrofanov (?), 20:36, 19/11/2013 [^] [ответить]    [к модератору]  
  • +/
    >> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
    > код форума открыт

    Типа, поспорил? Пирожок возьми, лучше жевать.

    ""you may not rent, sublicense, assign, lease, loan, resell for profit, distribute, publish or otherwise share the Software or related materials or derivative works based upon the

     
     
  • 6.19, Sabakwaka (ok), 20:55, 19/11/2013 [^] [ответить]    [к модератору]  
  • +/
    То есть, код  vBulletin недоступен?
     
     
  • 7.28, MPEG LA (?), 08:29, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    ты разницу между проприетарщиной и закрытостью кода вообще понимаешь?
     
     
  • 8.31, Sabakwaka (ok), 13:05, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    Вброшен тезис:
    проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть на предмет аудита безопасности.

    Ты вообще понимаешь, что в сырцы вБулетин можно хоть углядеться (после покупки)?

     
     
  • 9.32, Andrey Mitrofanov (?), 13:15, 20/11/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вброшен тезис:
    > проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть

    И тут Вы торжественно проходите в сад - читать Труды Столмана.

    +++"оттого, что в сырцы нельзя" исправить _и_ распространить изменеия.

     
     
  • 10.33, Sabakwaka (ok), 18:55, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    Aaaaa...
     
  • 5.21, Аноним (-), 23:28, 19/11/2013 [^] [ответить]    [к модератору]  
  • +/
    > код форума открыт

    Код QNX или там PGP - тоже, "типа, открыт". Но если почитать условия лицензирования то станет понятно что сие таки проприетарь. Хоть и с исходниками.

     
     
  • 6.24, Sabakwaka (ok), 00:05, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    Код, тем не менее — доступен для аудита.

    У QNX — нормальное отношение к независимым разработчикам.
    Входного порога нет.
    Будешь продавать — будешь делиться.

     
  • 2.8, vitalif (ok), 13:47, 19/11/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага я вот тоже не понимаю, зачем платить за движок форума, когда все PHPшные движки форумов - одинаковый отстой. IPB например тоже платный, а при этом КОД в БАЗЕ ДАННЫХ хранит (шаблоны со вставками PHP).
     
     
  • 3.9, demimurych (ok), 14:23, 19/11/2013 [^] [ответить]    [к модератору]  
  • +/
    ВЫ так говорите как будто это что то плохое
     
     
  • 4.11, Andrew Kolchoogin (ok), 14:41, 19/11/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Конечно, плохое. Код, который может быть read/write процессом, обслуживающим внешние данные -- это не просто "плохое", это "вырвиглазный 3,14здец".

    Первое правило системной безопасности при создании Web-сайтов: ни один из встроенных в Web-сервер интерпретаторов не должен ДАЖЕ В ПРИНЦИПЕ иметь возможность исполнить код из скриптов, доступных на запись пользователю, от которого работает серверный процесс или интерпретатор, а также из скриптов, расположенных в директориях, доступных на запись этим пользователям.

    И если программный продукт, который будет работать на Web-сайте, требует динамического обновления кода, он должен быть немедленно послан на йух.

     
     
  • 5.22, Аноним (-), 23:30, 19/11/2013 [^] [ответить]    [к модератору]  
  • +/
    > И если программный продукт, который будет работать на Web-сайте, требует динамического
    > обновления кода, он должен быть немедленно послан на йух.

    ...ибо старый баг - лучше новых двух :))

     
  • 3.25, Аноним (-), 00:23, 20/11/2013 [^] [ответить]     [к модератору]  
  • +/
    а на чем-то другом нормальных форумных движков вообще не обнаружено Но да, В... весь текст скрыт [показать]
     
  • 3.27, Аноним (-), 03:29, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    xenforo хоть и такая же лютая проприетарщина, но по качеству кода сильно лучше
     
  • 1.6, Аноним (-), 11:58, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    800 тысяч учетных запись
    вот так создаются базы, на основе которых можно сломать любой пароль
     
  • 1.10, Аноним (-), 14:38, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Что эта новость делает на опеннете? Я думал, что этот сайт посвящен открытому программному обеспечению.
     
     
  • 2.17, Аноним (-), 20:20, 19/11/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Сюрприз, но открытое ПО не всегда является бесплатным Исходники vBulletin откры... весь текст скрыт [показать]
     
     
  • 3.23, Аноним (-), 23:31, 19/11/2013 [^] [ответить]     [к модератору]  
  • +/
    Открытое ПО не всегда является свободными конскую лицензию можно состряпать и п... весь текст скрыт [показать]
     
  • 3.37, некто (ok), 10:31, 21/11/2013 [^] [ответить]    [к модератору]  
  • +/
    дабы избежать двусмысленности - можно ссылку пожалуйста на исходники (желательно на гитхабе) было бы интересно провести небольшой аудит...
     
  • 2.26, Аноним (-), 02:24, 20/11/2013 [^] [ответить]    [к модератору]  
  • +/
    Линукс тоже открытый, но под ограничивающей лицензией GPL.
     
  • 1.12, некто (ok), 16:29, 19/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно не слежу за ним, но если уже платный с дырками...
    Что за уязвимость хоть? Небось опять весь код к БД без prepare ? Впрочем не удивительно...
     
     
  • 2.13, Нанобот (ok), 17:08, 19/11/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    >Что за уязвимость хоть?

    по-моему разработчики сами не знают ещё, ищут

     
  • 2.35, Аноним (-), 20:15, 20/11/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Да платный он, конечно И дырявый Как только разработчики посчитают, что проект... весь текст скрыт [показать]
     
  • 1.36, некто (ok), 10:00, 21/11/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    парадокс - казалось бы платная вещь: эталон качества, а на практике выясняется что наоборот... Представляю какое восхищение безопасностью вызовут другие платные популярные продукты.

    Всегда считал, что платность продукта это повод прикрыть неприглядные исходники...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor