URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 92723
[ Назад ]

Исходное сообщение
"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."

Отправлено opennews , 19-Ноя-13 11:05 
В популярном движке для создания web-форумов vBulletin (http://www.vbulletin.com/), используемом многими открытыми проектами (например, на vBulletin основаны официальные форумы FreeBSD и Ubuntu), выявлена (http://threatpost.com/vbulletin-zero-day-used-to-attack-popu...) уязвимость, позволяющая организовать выполнение кода на сервере и получить доступ к содержимому БД. В настоящее время исправление пока не выпущено производителем и все форумы на базе vBulletin 4.x.x и 5.x.x потенциально могут быть подвержены атаке. Устаревшая ветка 3.x.x проблеме не подвержена.

Информация об уязвимости пока не вышла из рук злоумышленников, которые инициировали ряд атак против известных ресурсов. В частности, подобные атаки уже зафиксированы (https://www.facebook.com/inj3ct0rs/posts/611793255548704) против сайта vBulletin.com и форума MacRumors.com. Атака против  MacRumors.com привела к утечке около 860 тысяч учетных записей пользователей, включающих хэши паролей и указанные в профиле персональные данные. В результате атаки на vBulletin.com удалось получить root-доступ на одном из серверов проекта. Для защиты от уязвимости пока подходит только временное блокирование работы форума, что уже продемонстрировано (https://forum.defcon.org/) на форуме конференции DEF CON.

URL: http://threatpost.com/vbulletin-zero-day-used-to-attack-popu...
Новость: http://www.opennet.me/opennews/art.shtml?num=38463


Содержание

Сообщения в этом обсуждении
"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Адекват , 19-Ноя-13 11:05 
Вот сидишь иногда и диву даешься - до чего же у некоторых товарищей кателок варит.

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено IMHO , 19-Ноя-13 11:15 
> например, на vBulletin основаны официальные форумы FreeBSD

теперь я понял почему их форум не работает, ждут исправлений


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Алекс , 19-Ноя-13 11:22 
Новость относиться к версии 4.x.x и 5.х.x


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 20-Ноя-13 20:12 
Ты, Алекс, невежда.

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 19-Ноя-13 19:30 
>> теперь я понял почему их форум не работает...

Работает. Соблаговолите удостовериться.
http://forums.freebsd.org/


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 23:27 
Тем хуже для, ибо...

> Для защиты от уязвимости пока подходит только временное блокирование работы форума,


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Алекс , 20-Ноя-13 11:52 
Вы лучше сюда посмотрите http://ubuntuforums.org - vBulletin 4.2.1

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Алекс , 20-Ноя-13 11:55 
Там под 2 миллиона пользователей

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Анонимка , 19-Ноя-13 11:17 
>vBulletin основаны официальные форумы FreeBSD и Ubuntu

Латентные проприетарщики сразу палятся.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Vaso Petrovich , 19-Ноя-13 11:34 
> Латентные проприетарщики сразу палятся.

Та та, да да, ничего от Вас не скрыть... Ну разве самую малость, код форума, открыт, но вы продолжайте жить в Вашем замечательном мире, там видимо безумно интересно.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 17:22 
А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 19-Ноя-13 19:31 
> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin

код форума открыт


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Andrey Mitrofanov , 19-Ноя-13 20:36 
>> А тут написано, что проприетарное: https://en.wikipedia.org/wiki/VBulletin
> код форума открыт

Типа, поспорил? Пирожок возьми, лучше жевать.

""you may not rent, sublicense, assign, lease, loan, resell for profit, distribute, publish or otherwise share the Software or related materials or derivative works based upon the


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 19-Ноя-13 20:55 
То есть, код  vBulletin недоступен?

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено MPEG LA , 20-Ноя-13 08:29 
ты разницу между проприетарщиной и закрытостью кода вообще понимаешь?

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 20-Ноя-13 13:05 
Вброшен тезис:
проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть на предмет аудита безопасности.

Ты вообще понимаешь, что в сырцы вБулетин можно хоть углядеться (после покупки)?


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Andrey Mitrofanov , 20-Ноя-13 13:15 
> Вброшен тезис:
> проприетарщина нехорошая оттого, что в сырцы нельзя заглянуть

И тут Вы торжественно проходите в сад - читать Труды Столмана.

+++"оттого, что в сырцы нельзя" исправить _и_ распространить изменеия.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 20-Ноя-13 18:55 
Aaaaa...

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 23:28 
> код форума открыт

Код QNX или там PGP - тоже, "типа, открыт". Но если почитать условия лицензирования то станет понятно что сие таки проприетарь. Хоть и с исходниками.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Sabakwaka , 20-Ноя-13 00:05 
Код, тем не менее — доступен для аудита.

У QNX — нормальное отношение к независимым разработчикам.
Входного порога нет.
Будешь продавать — будешь делиться.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено vitalif , 19-Ноя-13 13:47 
Ага я вот тоже не понимаю, зачем платить за движок форума, когда все PHPшные движки форумов - одинаковый отстой. IPB например тоже платный, а при этом КОД в БАЗЕ ДАННЫХ хранит (шаблоны со вставками PHP).

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено demimurych , 19-Ноя-13 14:23 
ВЫ так говорите как будто это что то плохое

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Andrew Kolchoogin , 19-Ноя-13 14:41 
Конечно, плохое. Код, который может быть read/write процессом, обслуживающим внешние данные -- это не просто "плохое", это "вырвиглазный 3,14здец".

Первое правило системной безопасности при создании Web-сайтов: ни один из встроенных в Web-сервер интерпретаторов не должен ДАЖЕ В ПРИНЦИПЕ иметь возможность исполнить код из скриптов, доступных на запись пользователю, от которого работает серверный процесс или интерпретатор, а также из скриптов, расположенных в директориях, доступных на запись этим пользователям.

И если программный продукт, который будет работать на Web-сайте, требует динамического обновления кода, он должен быть немедленно послан на йух.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 23:30 
> И если программный продукт, который будет работать на Web-сайте, требует динамического
> обновления кода, он должен быть немедленно послан на йух.

...ибо старый баг - лучше новых двух :))


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 20-Ноя-13 00:23 
> все PHPшные движки форумов - одинаковый отстoй.

...а на чем-то другом нормальных форумных движков вообще не обнаружено. Но да, Вы правы: можно бесплатно взять phpbb3 и в нем дыр как-то не очень то и есть, а как движок он вполне обычный такой форум.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 20-Ноя-13 03:29 
xenforo хоть и такая же лютая проприетарщина, но по качеству кода сильно лучше

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 11:58 
800 тысяч учетных запись
вот так создаются базы, на основе которых можно сломать любой пароль

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 14:38 
Что эта новость делает на опеннете? Я думал, что этот сайт посвящен открытому программному обеспечению.

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 20:20 
> Что эта новость делает на опеннете? Я думал, что этот сайт посвящен
> открытому программному обеспечению.

Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и доступны для аудита.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 19-Ноя-13 23:31 
> Сюрприз, но открытое ПО не всегда является бесплатным. Исходники vBulletin открыты и
> доступны для аудита.

Открытое ПО не всегда является свободными: конскую лицензию можно состряпать и при наличии исходников. Вот VB как раз оно.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено некто , 21-Ноя-13 10:31 
дабы избежать двусмысленности - можно ссылку пожалуйста на исходники (желательно на гитхабе) было бы интересно провести небольшой аудит...

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 20-Ноя-13 02:24 
Линукс тоже открытый, но под ограничивающей лицензией GPL.

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено некто , 19-Ноя-13 16:29 
вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно не слежу за ним, но если уже платный с дырками...
Что за уязвимость хоть? Небось опять весь код к БД без prepare ? Впрочем не удивительно...

"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Нанобот , 19-Ноя-13 17:08 
>Что за уязвимость хоть?

по-моему разработчики сами не знают ещё, ищут


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено Аноним , 20-Ноя-13 20:15 
> вроде пятый бюллетень платный был всегда или что-то поменялось у них? Давно
> не слежу за ним, но если уже платный с дырками...
> Что за уязвимость хоть? Небось опять весь код к БД без prepare
> ? Впрочем не удивительно...

Да платный он, конечно. И дырявый. Как только разработчики посчитают, что проект достаточно крут, чтобы стричь его, не сомневайся - это начало конца.

Ждем известий о феерическом взломе Bitrix.

Ждем известий о феерическом взломе nginx.


"Зафиксированы атаки на форумы vBulletin с использованием 0-d..."
Отправлено некто , 21-Ноя-13 10:00 
парадокс - казалось бы платная вещь: эталон качества, а на практике выясняется что наоборот... Представляю какое восхищение безопасностью вызовут другие платные популярные продукты.

Всегда считал, что платность продукта это повод прикрыть неприглядные исходники...