vBulletin, anonym
vBulletin, anonym
Bildquelle: Mohammad Amirahmadi, Lizenz

vBulletin: Sicherheitslücke geschlossen, Patch veröffentlicht

Die kritische Sicherheitslücke von vBulletin, die jemand gestern bei PacketStormSecurity.com veröffentlicht hat, wurde heute geschlossen.

Heute früh veröffentlichte der Hersteller der Forensoftware vBulletin einen Security Patch für die Versionen 5.5.2, 5.5.3 und 5.5.4. Von der Zero-Day-Lücke waren auch populäre Foren wie myGully.com etc. betroffen. Nutzern älterer Versionen rät man zu einem Update von vBulletin.

Forensoftware vBulletin war angreifbar

Wie gestern bekannt wurde, hat jemand bei PacketStormSecurity.com eine bislang unbekannte Sicherheitslücke in der häufig genutzten Forensoftware vBulletin veröffentlicht. Sofern man den Sicherheitspatch noch nicht eingepflegt hat, können Hacker mithilfe der Lücke Schadcode auf den Servern des Forums auszuführen. Wer sich bezüglich einer möglichen Infektion noch unsicher ist, sollte sich lieber seine Log-Dateien in Ruhe anschauen, raten die Kollegen von heise security. Nachdem gestern kein Statement von der Betreibergesellschaft MH Sub I, LLC veröffentlicht wurde, erschien heute kurz nach 10 Uhr Ortszeit der heiß ersehnte Bugfix.

Man hätte dem Hersteller etwas Zeit lassen müssen

vbulletin packetstormsecurity.comBisher ist unklar, warum man dem Hersteller von vBulletin keine Zeit für eine Reaktion gelassen hat. Normalerweise halten sich White Hats bzw. Sicherheitsforscher an die gängigen Responsible-Disclosure-Regeln. Demnach setzt man den Hersteller über die Lücke in Kenntnis, anstatt sie -wie in diesem Fall- einfach so ohne jede Rücksichtnahme zu veröffentlichen. Der Betreiber hat dann in der Regel bis zu 90 Tage Zeit, um das Problem in Ruhe zu beheben. Wer genug Anstand hat, veröffentlicht seine Lücke erst, nachdem die Gefahr für alle Beteiligten vorüber ist. Der Hacker wollte unerkannt bleiben. Er nutzte bei PacketStormSecurity.com ein kryptisch klingendes Pseudonym und setzte dieses gestern das erste und einzige Mal überhaupt ein.

Es ist ebenfalls unklar, ob die neuerliche Downtime von myGully.com etwas mit der Sicherheitslücke zu tun hat. Den Bug hat man gestern als kritisch eingestuft. Das Warez-Forum ist aber nun wieder im vollen Umfang erreichbar.

P.S.

Wir haben eine Mitteilung erhalten, wonach elitepvpers.com nicht von der Problematik betroffen war. Sie haben nach eigenen Angaben die betroffene Version von vBulletin nicht genutzt.

Beitragsbild Mohammad Amirahmadi, thx! (unsplash licence)

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.