Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Lek in vBulletin-forumsoftware gevonden

Lek in vBulletin-forumsoftware gevonden

Door Wout Funnekotter, vrijdag 23 juli 2010 13:13
Submitter: PaulC, views: 14.601

Een recente versie van de populaire forumsoftware vBulletin bevat een fors lek, waardoor bezoekers eenvoudig login-gegevens voor de database kunnen achterhalen. De ontwikkelaar heeft een patch vrijgegeven die het gat moet dichten.

Het lek bevindt zich in de faq-pagina van versie 3.8.6 van de forumsoftware. De ontwikkelaars zouden daar zijn vergeten om debug-code te verwijderen. Volgens de BBC is een exploit niet ingewikkeld en zou een gemiddelde gebruiker de gegevens eenvoudig kunnen bemachtigen. Met de login-gegevens van de database zou in theorie een administratoraccount bemachtigd kunnen worden.

Internet Brands, de maker van de software, heeft een patch uitgebracht die het lek moet dichten. Ook heeft het bedrijf een bericht naar de admin-pagina's van alle vBulletin-fora gepusht met een link naar de update. Het is nog niet bekend hoeveel fora de upgrade al doorgevoerd hebben. Volgens Internet Brands maken meer dan veertigduizend online communities gebruik van vBulletin.

Volgende 13:47 LG: vraag naar iPad-schermen is te groot
Vorige 12:46 Panasonic ontwikkelt drielaagse bsi-beeldsensor
Advertentie

Gerelateerde producten

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 38 reacties zichtbaar380 Off-topic / Irrelevant: 37 reacties zichtbaar37+1 On-topic: 23 reacties zichtbaar23+2 Informatief: 0 reacties zichtbaar0+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door mimic, vrijdag 23 juli 2010 13:15

Score: 1
Er zijn wel meer fora die lekken hebben. Zo bijzonder is dit toch niet? Oké, het is slecht dat er debug-code is achtergelaten, maar dit is toch wel een vrij veel voorkomend probleem. Waar mensen werken worden fouten gemaakt. Altijd.

Door TimeVortex, vrijdag 23 juli 2010 13:21

Score: 1
De nieuwswaarde zit dan ook meer in de ernst van het lek. Aangenomen dat het bericht klopt en inderdaad gemakkelijk inloggegevens buit kunnen worden gemaakt, is het beter dat dit nieuws snel de aandacht van vBulletin-forumbeheerders bereikt, vind ik.

Door firefly112, vrijdag 23 juli 2010 13:27

Score: 0
in de vorige versie was het ook heel makkelijker je moest gewoon een query in de search veld type en je kreeg netjes alle gebruikers met wachtwoorden uitgerold

Edit:
ik zij vorige versie ik bedoel paar versies tereug weet niet meer welke het was maar het was iedergeval erg handig om het forum van school me te hacken

[Reactie gewijzigd door firefly112 op vrijdag 23 juli 2010 14:11]

Door Freezerator, vrijdag 23 juli 2010 14:02

Score: 1
Nou dan ben ik wel benieuwd welke versie dat is geweest want het is jaren geleden dat er z'n bug in vBulletin zat. Wat ook belangrijk is om te melden dat alleen versie 3.8.6 kwetsbaar is, andere versies niet. Maar het blijft meer dan slordig en het is typisch voor vBulletin sinds het overgenomen is door Internet Brands. De kwaliteit van de software (4.x releases) is achteruit gegaan...

Door groentensoep, vrijdag 23 juli 2010 14:07

Score: 1
Dat is dan wel heel erg lang geleden. Vbulletin gebruikt al jaren passwordhashes die gesalt zijn met een unique hash. (ja echt..) Rainbowen is dan ook nagenoeg niet te doen. Collisions zou nog mogelijk zijn maar de kans dat je er een vind is verwaarloosbaar.

Door not3pad, vrijdag 23 juli 2010 19:15

Score: 1
Qua professionaliteit schiet je nog wel iets te kort als "consultant". Op een vrij grote website met naam en toenaam bekennen dat jij het forum van je school gehackt hebt? Verstandige keuze!

Hoewel ik de historie van vBulletin niet ken, lijkt het mij erg stug dat in een versie vanaf 1.0 (Laten we even van een hele oude versie uitgaan) iets simpels als een SQL injectie via een search field mogelijk was. Zelfs zonder enige programmeer ervaring kun je bedenken dat je userinput als deze moet sanatizen eer je het in je queries gebruikt. Vooral in commerciële software. Ik heb ook even een aantal security sites er op na geslagen en nergens kan ik iets vinden over SQL injections via een search field.

Door tukkerpaddy, maandag 26 juli 2010 07:33

Score: 0
Hij is systeembeheerder, consultant is slechts een nietszeggende toevoeging.

Door Y0shi, vrijdag 23 juli 2010 13:16

Score: 1
Jammer dat de link naar de methode hierbij niet wordt vrijgegeven. Altijd wel leuk om te weten hoe dit soort dingen inelkaar steken.

De snelle reactie (naar wat ik zie dan) is erg fijn voor onderhouders van deze software. Vindt dit echt een goede ontwikkeling,

Door CodeCaster, vrijdag 23 juli 2010 13:28

Score: 1
Daar zijn zat sites voor, zoek op zero day exploits :)

Gelukkig leggen veel sites het nogal abstract uit, zodat niet elke scriptkiddie een kant-en-klaar script heeft om sites te gaan hacken.

Door Petervanakelyen, vrijdag 23 juli 2010 15:13

Score: 0
Kan niet zo direct iets vinden op oa inj3ct0r, meest recente dateert van 18 april 2010.

Door we_are_borg, vrijdag 23 juli 2010 13:16

Score: 1
Ik gebruik zelf ook versie 3.8.6 en ze hebben een announcement gemaakt op hun forum en ook gepuched naar de admincp. De email met de waarschuwing kwam pas 24 uur later aangezien de persoon die het ging versturen niet wist hoe hij de mailinglist moest bedienen.

Door xiphoid, zaterdag 24 juli 2010 14:28

Score: 1
we are borg, kom je ook overal tegen he (ben Floris) :) Ja, de patch is uit, klanten hebben bericht gehad, en een kind kan 3.8.6 exploiten als hij niet gepatched is. Ondertussen is het nieuws hiervan op bbc/theregister en nu ook tweakers alweer. Meestal maken programeurs fouten, maar deze is wel heel slordig, helemaal omdat het bedrijf loopt te adverteren met een Quality Assurance team, etc. Hun versie 4.0.2 had 5 patch releases nodig voordat ze naar 4.0.3 gingen. Voor mij persoonlijk is het duidelijk, vB is niet meer wat het was, en ik wacht gewoon braaf op nieuwe speler in de markt die weet wat ze doen, en begrijpt wat klanten willen, en o.a. de kennis hebben van wat verwacht wordt van moderne oplossingen met huidige en komende web.

Door xoleum, vrijdag 23 juli 2010 13:16

Score: 0
en om voor dit soort foutjes heb ik als voorzorgsmaatregel verschillende wachtwoorden voor elke site.

Door CodeCaster, vrijdag 23 juli 2010 13:30

Score: 1
Dat heeft hier niks mee te maken :) Hackers kunnen ook geen wachtwoorden achterhalen omdat deze gehasht worden met een salt.

Wel kunnen ze een gebruikersaccount op de normale manier registreren en dit door middel van de hack administrator-bevoegdheden geven.

Door Emunator, vrijdag 23 juli 2010 20:47

Score: 0
Ok, maak admin account, backup de database via cp en je hebt mds + salt.
Genoeg programma's die aardig snel kunnen ontcijferen wat het wachtwoord is met deze gegevens.

Door CodeCaster, zaterdag 24 juli 2010 11:29

Score: 0
Ik mag toch hopen dat de salt niet in de DB staat maar in een configuratiebestand.

Door Soldaatje, vrijdag 23 juli 2010 13:17

Score: 1
Je zal als beheerder maar net even op vakantie zijn, kom je thuis owow website gehackt!

Door Jan_V, vrijdag 23 juli 2010 13:25

Score: 1
Sowieso een beetje riskant als er maar 1 beheerder zou zijn.
Kan net zo goed tegen een boom aanrijden.

Door Kees, vrijdag 23 juli 2010 13:33

Score: 1
En waarom zou een klein forum, voor bijvoorbeeld een sportvereniging meerdere administrators nodig hebben?

Als jij de enige bent die een beetje verstand van dit soort dingen heeft in je vereniging, en de rest lukt het maar net om zich te registreren, dan lijkt het me logisch dat je niet meerdere administrators nodig hebt. Ook op een forum als GoT hebben we maar een zeer beperkt aantal mensen die echt een probleem als deze zouden kunnen oplossen.

Door DarkKnight, vrijdag 23 juli 2010 14:49

Score: 1
Ach, ik gok dat er genoeg mensen zijn op tweakers.net/GoT die gebruik kunnen maken van bijvoorbeeld een vergelijkbaar lek als in het artikel om dan het probleem op te lossen als er geen administrators aanwezig zijn :+

Door Cronax, vrijdag 23 juli 2010 14:54

Score: 0
probleem met 1 admin treedt al op als de admin zijn wachtwoord kwijtraakt of perongeluk zijn eigen admin rechten afneemd oid, maar ik zie je punt wel.

Door SinergyX, vrijdag 23 juli 2010 13:27

Score: 1
met de login-gegevens van de database
Natuurlijk heeft elke scriptkiddy deze natuurlijk bij de hand..

Maar je kan toch ook de FAQ nog steeds uitschakelen, daarmee zou je toch al 'gedicht' zijn?

Door Kees, vrijdag 23 juli 2010 13:34

Score: 1
Nee, je kan de logingegevens van de database achterhalen door dit lek, en vervolgens kun je de administrator wachtwoorden opzoeken in de database.

Je hoeft ze dus niet van te voren al te weten ;)

Door SinergyX, vrijdag 23 juli 2010 14:02

Score: 0
Aaah inderdaad, helemaal verkeerd gelezen :$

Door Moartn, vrijdag 23 juli 2010 13:30

Score: 1
Als je je site goed beveiligd hebt, heb je niets aan de username/password van de database, want dan zorg je ervoor dat directe database-toegang gewoon dicht staat natuurlijk.

Door Xthemes.us, vrijdag 23 juli 2010 21:58

Score: 1
Sterker nog, zover ik weet gebeurd dit al met de standaard instellingen. Ik heb me nog even achter het oor moet krabben voordat ik wel een remote MySQL connectie kon opzetten met mijn eigen server.

(de zover ik weet is omdat ik de standaard installatie uit de standaard openSUSE repositories heb getrokken waar zij de instellingen aangepast hebben - zo is standaard ook het gebruik van .htaccess files onder apache2 disabled).

Door Ilya, vrijdag 23 juli 2010 13:33

Score: 1
Recente versie? Inmiddels zitten ze toch al op 4.0.5 ofzo?

Door YopY, vrijdag 23 juli 2010 13:34

Score: 1
Op zo'n moment ben ik blij dat mijn licentie(s) verlopen zijn en ik niet meer mag updaten, :+.

vBulletin / Jelsoft (hebben ze hun naam veranderd?) mag wel wat meer doen aan kwaliteit, met goeie automagische tests zou dit gewoon te voorkomen zijn.

Maar het product zelf ben ik sowieso niet echt blij mee - qua code is het gewoon antiek bijna, ook nog in vB 4 die overstapt op MVC volgens hun zelf. Ook de backend is gewoon tien jaar oud en wordt niet veel meer aan gedaan.

Door Freezerator, vrijdag 23 juli 2010 14:05

Score: 1
Ze zijn overgenomen door Internet Brands (IB) dus dat is de naamsverandering.
De 4.x release is gewoon niet wat het beloofd is. De 3.8.6 was de 1e patch release voor IB sinds ze de overname deden, dus dat belooft veel goeds ;)

Door L1nt, vrijdag 23 juli 2010 14:20

Score: 0
Misschien ben ik te panisch maar dit gaf me ook wel een beetje een mmmm gevoel :X
Ook heeft het bedrijf een bericht naar de admin-pagina's van alle vBulletin-fora gepusht met een link naar de update
Er is dus een connectie tussen jou forum en de leverancier. De volgende scriptkiddy kraakt deze connectie en pusht jou een fake patch waardoor hij alsnog toegang heeft....

Door sopsop, vrijdag 23 juli 2010 14:34

Score: 0
Een bericht != een patch. Waarschijnlijk zit er gewoon een systeempje in de adminpagina die belangrijke berichten van de maker laat zien.

Door Cronax, vrijdag 23 juli 2010 14:57

Score: 0
Klopt, wat ik me herinner van toen ik vBulletin gebruikte krijg je in je openingsscherm van het admingedeelte een klein kadertje met nieuws van de makers, zo ook dit :P

Door Sander2012, vrijdag 23 juli 2010 15:05

Score: 0
Dat bericht kan toch wel naar een fake patch linken?

Door frickY, vrijdag 23 juli 2010 15:59

Score: 0
Dit zal geen letterlijke push-message zijn, maar gewoon een RSS feed vanaf de server van de makers.
Daar krijg jij je net bericht dus niet tussen.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 13:47 LG: vraag naar iPad-schermen is te groot
Vorige 12:46 Panasonic ontwikkelt drielaagse bsi-beeldsensor
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011