In dem Skript vb_test.php, welches bei der Forensoftware vBulletin
zum Testen von Installationsvoraussetzungen eingesetzt wird, gibt
es zwei Sicherheitslücken - diese ermöglichen Angreifern
Cross-Site-Scripting (XSS-)Angriffe sowie das Abgreifen von Daten
aus der von vBulletin verwendeten MySQL-Datenbank.
Laut dem Entdecker
der Lücken, Hanno Böck, wurde die XSS-Lücke bereits
geschlossen. Die Sicherheitslücke der MySQL-Datenbank besteht
jedoch weiterhin. Böck empfiehlt daher, die Gefahr zu bannen,
indem das PHP-Skript nach der Verwendung sofort wieder vom Webserver
gelöscht wird.
Das Skript
mitsamt Nutzungsanleitung wird von dem Entwicklerteam der vBulletin-Forensoftware
bereitgestellt, damit Kunden vor dem Kauf der Software die Voraussetzungen
für den Betrieb überprüfen können - es kann
und soll im Anschluss wieder entfernt werden. In vielen Fällen
bleibe das Skript jedoch auf den Servern und sei teilweise sogar
über Google auffindbar.
Das vBulletin-Team habe auf die von Böck gemeldeten Fehler
eher "schleppend" reagiert. Nachdem ein erster Hinweis
zu keinen Änderungen an der vb_test.php führte, wurde
vor etwa 10 Tagen und mit einem weiteren Hinweis eine neue Version
veröffentlicht, welche jedoch lediglich das XSS-Problem beseitigt.
Der MySQL-Fix habe laut Böck nicht funktioniert. Böck's
Empfehlung zum Entfernen des Skripts bleibt daher vorerst bestehen.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|