The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В форуме vBulletin обнаружена серьезная уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от opennews on 23-Июл-10, 20:33 
В популярной движке для создания web-форумов vBulletin (http://www.vbulletin.com/) обнаружена  уязвимость (http://secunia.com/advisories/40675/), по своей сути больше напоминающая троянскую закладку. При вводе в форме поиска FAQ-модуля ключевого слова "database" на экран выводится информация о параметрах подключения к MySQL серверу (хост, порт, имя БД, логин, пароль). В случае, если доступ к MySQL серверу не ограничен локальным хостом, злоумышленник может легко удаленно подключить к базе данных форума. Проблема устранена в vBulletin 3.8.6-PL1 (http://www.vbulletin.com/forum/showthread.php?357818-Securit...), патч можно загрузить здесь (http://members.vbulletin.com/patches.php). По заявлению разработчиков подобная уязвимость была вызвана недосмотром - разработчики забыли убрать отладочный код.

URL: http://secunia.com/advisories/40675/
Новость: http://www.opennet.dev/opennews/art.shtml?num=27405

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Dganic email on 23-Июл-10, 20:33 
не работает?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "В форуме vBulletin обнаружена серьезная уязвимость"  +1 +/
Сообщение от manwithgrenade on 23-Июл-10, 21:09 
Работает. На одном форуме всю информацию вывело. ;)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Аноним123321 (ok) on 24-Июл-10, 03:09 
можно хотябы скриншот? :-) с затёртыми URL, хотябы?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от manwithgrenade on 24-Июл-10, 05:00 
Какой-то ближневосточный форум (всё лишнее затёр/убрал):
http://itmages.ru/image/view/45849/c38a3fbd
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Dganic email on 23-Июл-10, 20:41 
Покажите мне форум хде работает? =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от анонимиус on 23-Июл-10, 21:16 
>разработчики забыли убрать отладочный код.

жестоко

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "В форуме vBulletin обнаружена серьезная уязвимость"  –2 +/
Сообщение от ононим on 23-Июл-10, 21:43 
может быть новости об уязвимостях в продуктах MS начнем писать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от XoRe (ok) on 23-Июл-10, 22:55 
>может быть новости об уязвимостях в продуктах MS начнем писать?

Бывает, что и про них пишут =)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от XoRe (ok) on 23-Июл-10, 22:55 
Epic fail, как сказал бы User294 =)

Кстати, можно припомнить соседнюю тему про обсуждение уведомлений о глюках от Google.
Вбюллетень вроде платная - разослали бы всем подписчикам инфу о глюке, плюс патч, плюс инструкции, как патчить.
Напуркуа вот так на весь мир трубить о _такой_ дырени?
Пока все обновятся, можно столько форумов поломать...
Ребята из гугля, как обычно, видят дальше остальных.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Gular (ok) on 24-Июл-10, 07:06 
Да, он платный, причем стоит не так уж мало. Но дырка жесткая, конечно.

Кстати, кто-нибудь натыкался на дырку в phpbb? Замечал несколько таких форумов, через которые отправлялся спам. Дело похоже именно во взломе самого phpbb.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от XoRe (ok) on 24-Июл-10, 14:39 
>Кстати, кто-нибудь натыкался на дырку в phpbb?

Натыкался.
В один прекрасный день на форуме я увидел тему с содержимым /etc/passwd сервера.
Хакер оказался относительно белым и просто публично указал на дырявость.
После этого перешел на invision power board.
Хотя это было в далеком 2004.
Не буду спорить, если начнете доказывать, что сейчас phpbb секурнее всех остальных)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от User294 (ok) on 24-Июл-10, 15:24 
В phpbb 2.x дыр было предостаточно, и не то чтобы все вовремя обновлялись. Возможно, некроманты передают вам привет? :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Аноним (??) on 24-Июл-10, 09:04 
на версии VBulletin 3.8.0  не работает
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Аноним (??) on 25-Июл-10, 05:40 
Сейчас пробежался по десятку форумов на VBulletin из гугла - нигде не работает. В том числе и на маленьких, с древними версиями и т.д. Нигде не работает. Видимо не все версии уязвимы, читать исходники влом ))))
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от slek (ok) on 25-Июл-10, 19:03 
>>Видимо не все версии уязвимы, читать исходники влом
>I was first informed it was introduced into 3.8.5, and carried over to 3.8.6, but only 3.8.6 is affected.

http://www.vbulletin.com/forum/showthread.php?357801-Mega-ex...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "В форуме vBulletin обнаружена серьезная уязвимость"  +/
Сообщение от Frank email(??) on 27-Июл-10, 19:01 
А провайдер некрофил, Русский vBulletin v3.8.3, не рботает :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру