Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 2.077.164 Produkten

Olivia von Westernhagen 3

Alert Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht

Forensoftware vBulletin: Patches für weitere Sicherheitslücken veröffentlicht

Bild: geralt

Auf Patch-Level 1 folgte zügig Patch-Level 2 für die Foren-Software. Angesichts jüngst erfolgter Angriffe auf vBulletin-Foren sollte man zügig updaten.

Nachdem die Entwickler der Forensoftware vBulletin erst kürzlich eine gefährliche Zero-Day-Lücke schlossen, haben sie nun noch einmal nachgebessert: Neue Patches beseitigen (je nach bisher verwendeter Version) diverse weitere Sicherheitslücken, von denen mehrere aus der Ferne ausnutzbar sind.

Wie einem Beitrag der Entwickler im vBulletin-Forum zu entnehmen ist, heben die Aktualisierungen die vBulletin-Versionen 5.5.2, 5.5.3 und 5.5.4 jeweils auf den Patch-Level 2. Nutzer einer Software-Version vor 5.5.2 sollten laut der Entwickler zunächst schnellstmöglich mindestens auf 5.5.2 upgraden. Für den aktuellen Patch-Download verweisen sie auf die "Member's Area" der vBulletin-Website.

Welche und wie viele Sicherheitslücken das neue Patch-Level 2 konkret beseitigt, ist dem Forenbeitrag nicht zu entnehmen. Das CERT-Bund verweist aber in einer aktuellen Kurzinfo auf die Lücken CVE-2019-17130, CVE-2019-17131 und CVE-2019-17132.

Erstere betraf offenbar die Behandlung externer URLs aus bestimmten Verzeichnissen heraus; das Patch-Level 2 beziehungsweise die (bislang nur als Alpha verfügbare) Version 5.5.5 bessern hier nach. Die zweite Lücke ermöglichte so genanntes "Clickjacking" – allerdings wohl nur in vBulletin-Versionen vor 5.4.4.

Deutlich mehr Informationen, inklusive Proof-of-Concept (PoC)-Code, gibt es zu CVE-2019-17132. Die Lücke ist remote ausnutzbar, betrifft alle vBulletin-Versionen (vor Patch-Level 2) gleichermaßen und ermöglicht Angreifern unter bestimmten Voraussetzungen das Injizieren und Ausführen beliebigen PHP-Codes im Kontext der Foren-Software. Ihr Entdecker hat darüber hinaus auch PoC-Code für eine weitere Lücke (CVE-2019-17271) veröffentlicht, die ihm selbst zufolge ebenfalls mit dem neuen vBulletin-Patch gefixt wurde.

Anzeige

Mit dem Patch-Level 1 hatten die Forensoftware-Entwickler erst Ende vergangenen Monats eine als kritisch eingestufte Lücke geschlossen. Sie wurde aktiv ausgenutzt: Unter anderem gelang es einem Hacker, mehrere Foren des Sicherheitssoftware-Herstellers Comodo zu kapern und Daten von mindestens 170.000 Nutzern zu kopieren.

Angesichts des veröffentlichten PoC-Codes für die neuen Lücken und vBulletins wenig transparenter Patch-Politik sollten Forenbetreiber nun erst recht zügig handeln. (ovw)

3 Kommentare

Themen:

Anzeige
Anzeige