15.10.2013
Sicherheitsleck
Lücke in Webforen-Software vBulletin
Autor: Michael Rupp
Foto: vBulletin
In der populären Webforen-Software vBulletin wurde eine Sicherheitslücke entdeckt. Damit können Angreifer die Kontrolle über eine auf Basis der PHP-Software betriebene Website übernehmen.
vBulletin ist eine in der Skriptsprache PHP geschriebne Software und vor allem als Content Management System für Webforen beliebt. Durch ein jetzt aufgedecktes Sicherheitsleck lassens sich mit vBulletin betrieben Internet-Angebote hacken.
Die identifizierte Schwachstelle erlaubt Angreifern, den Konfigurationsmechanismus von vBulletin zu missbrauchen, indem sie ein zweites Administratorkonto anlegen. Ist das geschehen, erlangt der Angreifer den Sicherheitsexperten des Imperva Application Defense Center (ADC) zufolge die volle Kontrolle über das Forenprogramm und gleichzeitig über die Webseite, die mit vBulletin verwaltet wird.
Ein Angreifer soll wegen des Bugs in der Foren-Anwendung zum Erstellen eines weiteren Administratorkontos lediglich die exakte URL der angreifbaren vBulletin-Routine „upgrade.php“ sowie die Customer-ID benötigen. Um an diese Informationen zu gelangen, könnten Hacker ein PHP-Script einsetzen, dass die Website nach dem gesuchten Pfad durchsucht und gleichzeitig die Customer-ID entschlüsselt, die sich in der angreifbaren „upgrade.php“-Seite im Quellcode verbirgt. Mit diesen Informationen ausgestattet, kann der Angriff beginnen.
Die Entwickler von vBulletin haben in ihrem Blog bereits eine Lösung des Sicherheitsproblems beschrieben und geben Tipps für betroffene Nutzer.
Fazit
Positiv, das die Entwickler von vBulletin so schnell reagiert und den Angriffsweg geschlossen haben.
Übernahme
Mimecast baut Human Risk Management-Plattform mit Kauf von Code42 und Aware aus
Mimecast Limited (Mimecast) übernimmt Code42 und Aware. Code42 bietet Lösungen zum Management von Insider-Bedrohungen und Datenverlusten (Data Loss Protection, DLP). Aware ist eine KI-Sicherheitsplattform für Collaboration Tools.
>>
5G+ Gaming
Telekom führt 5G-Standalone für mobiles Spielen ein
Zusammen mit Also hat die Telekom ein Paket für mobile Gamer geschnürt. Dank der 5G-Standalone-Technologie sollen sie beim Spielen mit dem Smartphone Tempovorteile haben.
>>
Technische Schuld
Gutes vs. Schlechtes Refactoring - wie man die richtige Entscheidung trifft
Refactoring ist ein wesentlicher Bestandteil der Softwareentwicklung, aber nicht jedes Refactoring bringt Verbesserungen mit sich. Ein Artikel erläutert die häufigsten Fehler und wie man sie vermeidet.
>>
KI für Musikempfehlungen
Transformer-Modelle revolutionieren Musikempfehlungssysteme
Eine neue Methode nutzt Transformer-Architekturen zur Verbesserung von Musikempfehlungen, indem sie das Nutzerverhalten in verschiedenen Kontexten besser versteht.
>>