Die kritische Sicherheitslücke von vBulletin, die jemand gestern bei PacketStormSecurity.com veröffentlicht hat, wurde heute geschlossen.
Heute früh veröffentlichte der Hersteller der Forensoftware vBulletin einen Security Patch für die Versionen 5.5.2, 5.5.3 und 5.5.4. Von der Zero-Day-Lücke waren auch populäre Foren wie myGully.com etc. betroffen. Nutzern älterer Versionen rät man zu einem Update von vBulletin.
Forensoftware vBulletin war angreifbar
Wie gestern bekannt wurde, hat jemand bei PacketStormSecurity.com eine bislang unbekannte Sicherheitslücke in der häufig genutzten Forensoftware vBulletin veröffentlicht. Sofern man den Sicherheitspatch noch nicht eingepflegt hat, können Hacker mithilfe der Lücke Schadcode auf den Servern des Forums auszuführen. Wer sich bezüglich einer möglichen Infektion noch unsicher ist, sollte sich lieber seine Log-Dateien in Ruhe anschauen, raten die Kollegen von heise security. Nachdem gestern kein Statement von der Betreibergesellschaft MH Sub I, LLC veröffentlicht wurde, erschien heute kurz nach 10 Uhr Ortszeit der heiß ersehnte Bugfix.
Man hätte dem Hersteller etwas Zeit lassen müssen
Bisher ist unklar, warum man dem Hersteller von vBulletin keine Zeit für eine Reaktion gelassen hat. Normalerweise halten sich White Hats bzw. Sicherheitsforscher an die gängigen Responsible-Disclosure-Regeln. Demnach setzt man den Hersteller über die Lücke in Kenntnis, anstatt sie -wie in diesem Fall- einfach so ohne jede Rücksichtnahme zu veröffentlichen. Der Betreiber hat dann in der Regel bis zu 90 Tage Zeit, um das Problem in Ruhe zu beheben. Wer genug Anstand hat, veröffentlicht seine Lücke erst, nachdem die Gefahr für alle Beteiligten vorüber ist. Der Hacker wollte unerkannt bleiben. Er nutzte bei PacketStormSecurity.com ein kryptisch klingendes Pseudonym und setzte dieses gestern das erste und einzige Mal überhaupt ein.
Es ist ebenfalls unklar, ob die neuerliche Downtime von myGully.com etwas mit der Sicherheitslücke zu tun hat. Den Bug hat man gestern als kritisch eingestuft. Das Warez-Forum ist aber nun wieder im vollen Umfang erreichbar.
P.S.
Wir haben eine Mitteilung erhalten, wonach elitepvpers.com nicht von der Problematik betroffen war. Sie haben nach eigenen Angaben die betroffene Version von vBulletin nicht genutzt.
Beitragsbild Mohammad Amirahmadi, thx! (unsplash licence)
Tarnkappe.info