In dem Skript vb_test.php, welches bei der Forensoftware vBulletin zum Testen von Installationsvoraussetzungen eingesetzt wird, gibt es zwei Sicherheitslücken - diese ermöglichen Angreifern Cross-Site-Scripting (XSS-)Angriffe sowie das Abgreifen von Daten aus der von vBulletin verwendeten MySQL-Datenbank.

Laut dem Entdecker der Lücken, Hanno Böck, wurde die XSS-Lücke bereits geschlossen. Die Sicherheitslücke der MySQL-Datenbank besteht jedoch weiterhin. Böck empfiehlt daher, die Gefahr zu bannen, indem das PHP-Skript nach der Verwendung sofort wieder vom Webserver gelöscht wird.

Das Skript mitsamt Nutzungsanleitung wird von dem Entwicklerteam der vBulletin-Forensoftware bereitgestellt, damit Kunden vor dem Kauf der Software die Voraussetzungen für den Betrieb überprüfen können - es kann und soll im Anschluss wieder entfernt werden. In vielen Fällen bleibe das Skript jedoch auf den Servern und sei teilweise sogar über Google auffindbar.

Das vBulletin-Team habe auf die von Böck gemeldeten Fehler eher "schleppend" reagiert. Nachdem ein erster Hinweis zu keinen Änderungen an der vb_test.php führte, wurde vor etwa 10 Tagen und mit einem weiteren Hinweis eine neue Version veröffentlicht, welche jedoch lediglich das XSS-Problem beseitigt. Der MySQL-Fix habe laut Böck nicht funktioniert. Böck's Empfehlung zum Entfernen des Skripts bleibt daher vorerst bestehen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE