Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwert bleiben

PC & Internet vBulletin: Sicherheitslücke geschlossen, Patch veröffentlicht

josef.13

Moderator
Teammitglied
Mitglied seit
1. Juli 2009
Beiträge
20.078
Erhaltene Reaktionen
22.071
Heute früh veröffentlichte der Hersteller der Forensoftware vBulletin einen Security Patch für die Versionen 5.5.2, 5.5.3 und 5.5.4. Von der Zero-Day-Lücke waren auch populäre Foren wie myGully.com oder Elitepvpers betroffen. Nutzern älterer Versionen rät man zu einem Update von vBulletin.

Forensoftware vBulletin war angreifbar
Wie gestern bekannt wurde, hat jemand bei PacketStormSecurity.com eine bislang unbekannte Sicherheitslücke in der häufig genutzten Forensoftware vBulletin veröffentlicht. Sofern man den Sicherheitspatch noch nicht eingepflegt hat, können Hacker mithilfe der Lücke Schadcode auf den Servern des Forums auszuführen. Wer sich bezüglich einer möglichen Infektion noch unsicher ist, sollte sich lieber seine Log-Dateien in Ruhe anschauen, raten die Kollegen von heise security. Nachdem gestern kein Statement von der Betreibergesellschaft MH Sub I, LLC veröffentlicht wurde, erschien heute kurz nach 10 Uhr Ortszeit der heiß ersehnte Bugfix.

anonymer-hacker-vbulletin-768x576.jpg

Man hätte dem Hersteller etwas Zeit lassen müssen


vbulletin packetstormsecurity.com


Bisher ist unklar, warum man dem Hersteller keine Zeit für eine Reaktion gelassen hat. Normalerweise halten sich White Hats bzw. Sicherheitsforscher an die gängigen Responsible-Disclosure-Regeln. Demnach setzt man den Hersteller über die Lücke in Kenntnis, anstatt sie -wie in diesem Fall- einfach so ohne jede Rücksichtnahme zu veröffentlichen.

Der Betreiber hat dann in der Regel bis zu 90 Tage Zeit, um das Problem in Ruhe zu beheben. Wer genug Anstand hat, veröffentlicht seine Lücke erst, nachdem die Gefahr für alle Beteiligten vorüber ist. Der Hacker wollte unerkannt bleiben. Er nutzte bei PacketStormSecurity.com ein kryptisch klingendes Pseudonym und setzte dieses gestern das erste und einzige Mal überhaupt ein.

Es ist ebenfalls unklar, ob die neuerliche Downtime von myGully.com etwas mit der Sicherheitslücke zu tun hat. Der Bug wurde gestern als kritisch eingestuft. Das Warez-Forum ist aber nun wieder im vollen Umfang erreichbar.

 
Oben