В популярном движке для создания web-форумов vBulletin (http://www.vbulletin.com/), используемом многими открытыми проектами (например, на vBulletin основаны официальные форумы FreeBSD и Ubuntu), выявлена (http://threatpost.com/vbulletin-zero-day-used-to-attack-popu...) уязвимость, позволяющая организовать выполнение кода на сервере и получить доступ к содержимому БД. В настоящее время исправление пока не выпущено производителем и все форумы на базе vBulletin 4.x.x и 5.x.x потенциально могут быть подвержены атаке. Устаревшая ветка 3.x.x проблеме не подвержена.

Информация об уязвимости пока не вышла из рук злоумышленников, которые инициировали ряд атак против известных ресурсов. В частности, подобные атаки уже зафиксированы (https://www.facebook.com/inj3ct0rs/posts/611793255548704) против сайта vBulletin.com и форума MacRumors.com. Атака против  MacRumors.com привела к утечке около 860 тысяч учетных записей пользователей, включающих хэши паролей и указанные в профиле персональные данные. В результате атаки на vBulletin.com удалось получить root-доступ на одном из серверов проекта. Для защиты от уязвимости пока подходит только временное блокирование работы форума, что уже продемонстрировано (https://forum.defcon.org/) на форуме конференции DEF CON.

URL: http://threatpost.com/vbulletin-zero-day-used-to-attack-popu...
Новость: http://www.opennet.me/opennews/art.shtml?num=38463

• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Адекват, 11:05 , 19-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,IMHO, 11:15 , 19-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Алекс, 11:22 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 20:12 , 20-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 19:30 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 23:27 , 19-Ноя-13
      • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Алекс, 11:52 , 20-Ноя-13
        • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Алекс, 11:55 , 20-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Анонимка, 11:17 , 19-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Vaso Petrovich, 11:34 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 17:22 , 19-Ноя-13
      • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 19:31 , 19-Ноя-13
        • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Andrey Mitrofanov, 20:36 , 19-Ноя-13
          • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 20:55 , 19-Ноя-13
            • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,MPEG LA, 08:29 , 20-Ноя-13
              • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 13:05 , 20-Ноя-13
                • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Andrey Mitrofanov, 13:15 , 20-Ноя-13
                  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 18:55 , 20-Ноя-13
        • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 23:28 , 19-Ноя-13
          • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Sabakwaka, 00:05 , 20-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,vitalif, 13:47 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,demimurych, 14:23 , 19-Ноя-13
      • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Andrew Kolchoogin, 14:41 , 19-Ноя-13
        • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 23:30 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 00:23 , 20-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 03:29 , 20-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 11:58 , 19-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 14:38 , 19-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 20:20 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 23:31 , 19-Ноя-13
    • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,некто, 10:31 , 21-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 02:24 , 20-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,некто, 16:29 , 19-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Нанобот, 17:08 , 19-Ноя-13
  • Зафиксированы атаки на форумы vBulletin с использованием 0-d...,Аноним, 20:15 , 20-Ноя-13
• Зафиксированы атаки на форумы vBulletin с использованием 0-d...,некто, 10:00 , 21-Ноя-13

Вот сидишь иногда и диву даешься - до чего же у некоторых товарищей кателок варит.

> например, на vBulletin основаны официальные форумы FreeBSD

теперь я понял почему их форум не работает, ждут исправлений

Новость относиться к версии 4.x.x и 5.х.x

Ты, Алекс, невежда.

>> теперь я понял почему их форум не работает...

Работает. Соблаговолите удостовериться.
http://forums.freebsd.org/

Тем хуже для, ибо...

> Для защиты от уязвимости пока подходит только временное блокирование работы форума,

Вы лучше сюда посмотрите http://ubuntuforums.org - vBulletin 4.2.1

Там под 2 миллиона пользователей

>vBulletin основаны официальные форумы FreeBSD и Ubuntu

Латентные проприетарщики сразу палятся.

> Латентные проприетарщики сразу палятся.

Та та, да да, ничего от Вас не скрыть... Ну разве самую малость, код форума, открыт, но вы продолжайте жить в Вашем замечательном мире, там видимо безумно интересно.

А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

код форума открыт

>> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
> код форума открыт

Типа, поспорил? Пирожок возьми, лучше жевать.

""you may not rent, sublicense, assign, lease, loan, resell for profit, distribute, publish or otherwise share the Software or related materials or derivative works based upon the

То есть, код  vBulletin недоступен?

ты разницу между проприетарщиной и закрытостью кода вообще понимаешь?

Вброшен тезис:
проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть на предмет аудита безопасности.

Ты вообще понимаешь, что в сырцы вБулетин можно хоть углядеться (после покупки)?

> Вброшен тезис:
> проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть

И тут Вы торжественно проходите в сад - читать Труды Столмана.

+++"оттого, что в сырцы нельзя" исправить _и_ распространить изменеия.

Aaaaa...

> код форума открыт

Код QNX или там PGP - тоже, "типа, открыт". Но если почитать условия лицензирования то станет понятно что сие таки проприетарь. Хоть и с исходниками.

Код, тем не менее — доступен для аудита.

У QNX — нормальное отношение к независимым разработчикам.
Входного порога нет.
Будешь продавать — будешь делиться.

Ага я вот тоже не понимаю, зачем платить за движок форума, когда все PHPшные движки форумов - одинаковый отстой. IPB например тоже платный, а при этом КОД в БАЗЕ ДАННЫХ хранит (шаблоны со вставками PHP).

ВЫ так говорите как будто это что то плохое

Конечно, плохое. Код, который может быть read/write процессом, обслуживающим внешние данные -- это не просто "плохое", это "вырвиглазный 3,14здец".

Первое правило системной безопасности при создании Web-сайтов: ни один из встроенных в Web-сервер интерпретаторов не должен ДАЖЕ В ПРИНЦИПЕ иметь возможность исполнить код из скриптов, доступных на запись пользователю, от которого работает серверный процесс или интерпретатор, а также из скриптов, расположенных в директориях, доступных на запись этим пользователям.

И если программный продукт, который будет работать на Web-сайте, требует динамического обновления кода, он должен быть немедленно послан на йух.

> И если программный продукт, который будет работать на Web-сайте, требует динамического
> обновления кода, он должен быть немедленно послан на йух.

...ибо старый баг - лучше новых двух :))

> все PHPшные движки форумов - одинаковый отстoй.

...а на чем-то другом нормальных форумных движков вообще не обнаружено. Но да, Вы правы: можно бесплатно взять phpbb3 и в нем дыр как-то не очень то и есть, а как движок он вполне обычный такой форум.

xenforo хоть и такая же лютая проприетарщина, но по качеству кода сильно лучше

800 тысяч учетных запись
вот так создаются базы, на основе которых можно сломать любой пароль

Что эта новость делает на опеннете? Я думал, что этот сайт посвящен открытому программному обеспечению.

> Что эта новость делает на опеннете? Я думал, что этот сайт посвящен
> открытому программному обеспечению.

Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и доступны для аудита.

> Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и
> доступны для аудита.

Открытое ПО не всегда является свободными: конскую лицензию можно состряпать и при наличии исходников. Вот VB как раз оно.

дабы избежать двусмысленности - можно ссылку пожалуйста на исходники (желательно на гитхабе) было бы интересно провести небольшой аудит...

Линукс тоже открытый, но под ограничивающей лицензией GPL.

вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно не слежу за ним, но если уже платный с дырками...
Что за уязвимость хоть? Небось опять весь код к БД без prepare ? Впрочем не удивительно...

>Что за уязвимость хоть?

по-моему разработчики сами не знают ещё, ищут

> вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно
> не слежу за ним, но если уже платный с дырками...
> Что за уязвимость хоть? Небось опять весь код к БД без prepare
> ? Впрочем не удивительно...

Да платный он, конечно. И дырявый. Как только разработчики посчитают, что проект достаточно крут, чтобы стричь его, не сомневайся - это начало конца.

Ждем известий о феерическом взломе Bitrix.

Ждем известий о феерическом взломе nginx.

парадокс - казалось бы платная вещь: эталон качества, а на практике выясняется что наоборот... Представляю какое восхищение безопасностью вызовут другие платные популярные продукты.

Всегда считал, что платность продукта это повод прикрыть неприглядные исходники...