Anonymná osoba uverejnila zero-day pre vBulletin fórum softvér

vBulletin

Zdroj: ZDNet

vBulletin

Softvér vBulletin je v súčastnosti najpopulárnejší softvér pre internetové fóra. Podľa ich vlastnej stránky ho používa NASA, kapela Pearl Jam, STEAM, EA alebo Sony Pictures. Tieto organizácie a plno iných majú teraz plno starostí.

Chyba

Chybu uverejnila anonymne neznáma osoba na verejnom mailing liste Full Disclosure a dostala označenie CVE-2019-16759 (Base Score: 9.8 CRITICAL). Nie je známe či kontaktovala predtým vBulletin. Nie sú známe ani pohnútky tejto osoby, keďže podľa všetkého ešte neexistuje oficiálna oprava. Chyba je vážna a umožňuje bez prihlásenia spúšťať shell príkazy na počítači kde je vBulletin nainštalovaný. Ohrozené sú verzie 5.0.0 až 5.5.4.

Rozsah problému

Podľa vyhľadávačov existujú tisíce inštalácií tohto produktu a zrátať počet používateľov na nich je nemožné. Problémom je, že ľudia vypĺňajú svoje osobné údaje pri vytváraní účtov na fórach. Tieto údaje sú teraz ohrozené. V ohrození sú aj ľudia, ktorí nemajú aktuálne zálohy databázy svojho fóra.

Chyba nie je nová

Zakladateľ firmy Zerodium, ktorá nakupuje chyby aj pre vBulletin sa vyjadril, že táto chyba bola prístupná pre ich zákazníkov 3 roky. Podľa jeho slov túto chybu ponúkali bezpečnostní výskumníci na predaj mnoho rokov.

Reakcia vBulletin

V momente písania tohto článku firma aktívne maže diskusie o tomto probléme na vlastnom vBulletin fóre. Počas písania článku mi zmizla diskusia ľudí o tom, že ich fórum bolo hacknuté. Firma nevydala žiadne oficiálne vyjadrenie, nereaguje na otázky novinárov a celkovo jej reakcia je jedno nepochopiteľné ticho.

Obrázok: „Leader lock“ by Joybot, used under CC BY-SA 2.0

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

ITAPA 2022: Výber TOP spíkrov kongresu

ITAPA 2022: Výber TOP spíkrov kongresu Téma: Ženy v IT, úspešné podnikateľky Anca D. Goron, expertka na umelú inteligenciu, zakladateľka 2 startupov, ktorá bola zaradená do…

Richard „Citrón“ Lintner exkluzívne pre ITAPA

Tlačová informácia Richard „Citrón“ Lintner exkluzívne pre ITAPA: Vychovávame výnimočných ľudí. Nie vďaka, ale skôr napriek systému Bratislava, 22. november 2022 – Je tomu už…