zurück zum Artikel

Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht

Forensoftware vBulletin: Patches für weitere Sicherheitslücken veröffentlicht

(Bild: geralt)

Auf Patch-Level 1 folgte zügig Patch-Level 2 für die Foren-Software. Angesichts jüngst erfolgter Angriffe auf vBulletin-Foren sollte man zügig updaten.

Nachdem die Entwickler der Forensoftware vBulletin erst kürzlich eine gefährliche Zero-Day-Lücke schlossen, haben sie nun noch einmal nachgebessert: Neue Patches beseitigen (je nach bisher verwendeter Version) diverse weitere Sicherheitslücken, von denen mehrere aus der Ferne ausnutzbar sind.

Wie einem Beitrag der Entwickler im vBulletin-Forum [1] zu entnehmen ist, heben die Aktualisierungen die vBulletin-Versionen 5.5.2, 5.5.3 und 5.5.4 jeweils auf den Patch-Level 2. Nutzer einer Software-Version vor 5.5.2 sollten laut der Entwickler zunächst schnellstmöglich mindestens auf 5.5.2 upgraden. Für den aktuellen Patch-Download verweisen sie auf die "Member's Area" der vBulletin-Website [2].

Welche und wie viele Sicherheitslücken das neue Patch-Level 2 konkret beseitigt, ist dem Forenbeitrag nicht zu entnehmen. Das CERT-Bund verweist aber in einer aktuellen Kurzinfo [3] auf die Lücken CVE-2019-17130 [4], CVE-2019-17131 [5] und CVE-2019-17132 [6].

Erstere betraf offenbar die Behandlung externer URLs aus bestimmten Verzeichnissen heraus; das Patch-Level 2 beziehungsweise die (bislang nur als Alpha verfügbare) Version 5.5.5 bessern hier nach. Die zweite Lücke ermöglichte so genanntes "Clickjacking" – allerdings wohl nur in vBulletin-Versionen vor 5.4.4.

Deutlich mehr Informationen, inklusive Proof-of-Concept (PoC)-Code [7], gibt es zu CVE-2019-17132. Die Lücke ist remote ausnutzbar, betrifft alle vBulletin-Versionen (vor Patch-Level 2) gleichermaßen und ermöglicht Angreifern unter bestimmten Voraussetzungen das Injizieren und Ausführen beliebigen PHP-Codes im Kontext der Foren-Software. Ihr Entdecker hat darüber hinaus auch PoC-Code für eine weitere Lücke (CVE-2019-17271 [8]) veröffentlicht, die ihm selbst zufolge ebenfalls mit dem neuen vBulletin-Patch gefixt wurde.

Mit dem Patch-Level 1 hatten die Forensoftware-Entwickler erst Ende vergangenen Monats eine als kritisch eingestufte Lücke geschlossen [9]. Sie wurde aktiv ausgenutzt: Unter anderem gelang es einem Hacker, mehrere Foren des Sicherheitssoftware-Herstellers Comodo zu kapern [10] und Daten von mindestens 170.000 Nutzern zu kopieren.

Angesichts des veröffentlichten PoC-Codes für die neuen Lücken und vBulletins wenig transparenter Patch-Politik sollten Forenbetreiber nun erst recht zügig handeln. (ovw [11])


URL dieses Artikels:
http://www.heise.de/-4549270

Links in diesem Artikel:
[1] https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4423646-vbulletin-5-5-x-5-5-2-5-5-3-and-5-5-4-security-patch-level-2
[2] http://members.vbulletin.com/patches.php
[3] https://www.cert-bund.de/advisoryshort/CB-K19-0878
[4] https://nvd.nist.gov/vuln/detail/CVE-2019-17130
[5] https://nvd.nist.gov/vuln/detail/CVE-2019-17131
[6] https://nvd.nist.gov/vuln/detail/CVE-2019-17132
[7] https://packetstormsecurity.com/files/154759/vBulletin-5.5.4-Remote-Code-Execution.html
[8] https://nvd.nist.gov/vuln/detail/CVE-2019-17271
[9] https://www.heise.de/meldung/Forensoftware-vBulletin-Patch-schliesst-kritische-Zero-Day-Luecke-4539833.html
[10] https://www.heise.de/meldung/Datenleck-in-Comodo-Foren-Hacker-bietet-Daten-von-170-000-Nutzern-zum-Kauf-an-4545696.html
[11] mailto:ovw@heise.de