Zdroj: ZDNet
vBulletin
Softvér vBulletin je v súčastnosti najpopulárnejší softvér pre internetové fóra. Podľa ich vlastnej stránky ho používa NASA, kapela Pearl Jam, STEAM, EA alebo Sony Pictures. Tieto organizácie a plno iných majú teraz plno starostí.
Chyba
Chybu uverejnila anonymne neznáma osoba na verejnom mailing liste Full Disclosure a dostala označenie CVE-2019-16759 (Base Score: 9.8 CRITICAL). Nie je známe či kontaktovala predtým vBulletin. Nie sú známe ani pohnútky tejto osoby, keďže podľa všetkého ešte neexistuje oficiálna oprava. Chyba je vážna a umožňuje bez prihlásenia spúšťať shell príkazy na počítači kde je vBulletin nainštalovaný. Ohrozené sú verzie 5.0.0 až 5.5.4.
Rozsah problému
Podľa vyhľadávačov existujú tisíce inštalácií tohto produktu a zrátať počet používateľov na nich je nemožné. Problémom je, že ľudia vypĺňajú svoje osobné údaje pri vytváraní účtov na fórach. Tieto údaje sú teraz ohrozené. V ohrození sú aj ľudia, ktorí nemajú aktuálne zálohy databázy svojho fóra.
Chyba nie je nová
Zakladateľ firmy Zerodium, ktorá nakupuje chyby aj pre vBulletin sa vyjadril, že táto chyba bola prístupná pre ich zákazníkov 3 roky. Podľa jeho slov túto chybu ponúkali bezpečnostní výskumníci na predaj mnoho rokov.
Reakcia vBulletin
V momente písania tohto článku firma aktívne maže diskusie o tomto probléme na vlastnom vBulletin fóre. Počas písania článku mi zmizla diskusia ľudí o tom, že ich fórum bolo hacknuté. Firma nevydala žiadne oficiálne vyjadrenie, nereaguje na otázky novinárov a celkovo jej reakcia je jedno nepochopiteľné ticho.
Obrázok: „Leader lock“ by Joybot, used under CC BY-SA 2.0
