Sicherheitsforscher warnt vor Zero-Day-Lücke in Foren-Software vBulletin
Anscheinend könnten Angreifer mit vergleichsweise wenig Aufwand Web-Server mit vBulletin-Software übernehmen. Ein Sicherheitspatch ist bislang nicht in Sicht.
(Bild: dpa, Oliver Berg)
Wer auf seinem Web-Server die Forensoftware vBulletin betreibt, sollte dieser Tage die Logs ganz genau studieren: Aufgrund einer Zero-Day-Lücke sollen Angreifer in der Lage sein, Schadcode auf Servern ausführen zu können.
Da nun Details zur Schwachstelle öffentlich bekannt sind, könnten Angriffe bevorstehen. Problematisch dabei ist: Ein Sicherheitsupdate wurde noch nicht angekündigt.
Bedrohte Versionen
Betroffen soll der aktuelle Versionsstrang 5.0.0 bis einschließlich 5.5.4 sein, warnt ein anonymer Sicherheitsforscher in der Mailing-Liste Seclists.org. Um Schadcode auf verwundbare Server zu bringen und auszuführen, müssen Angreifer dem Forscher zufolge lediglich Befehle in eine HTTP-POST-Anfrage verpacken (Command injection). Dafür sollen wenige Zeilen Code genügen.
Weitere Details zu möglichen Angriffsszenarien sind zum aktuellen Zeitpunkt nicht bekannt. Außerdem ist die Schwachstelle noch mit keiner CVE-Nummer versehen. Auch eine Risiko-Bewertung steht noch aus. Derzeit deutet alles darauf hin, dass es sich im eine "kritische" Sicherheitslücke handelt.
Warten auf Stellungnahme/Updates
Bislang haben die vBulletin-Entwickler dazu keine Stellung bezogen. Dementsprechend ist unklar, wann mit einem Sicherheitsupdate zu rechnen ist.
Warum der Sicherheitsforscher Details zur Schwachstelle veröffentlicht hat, bevor ein Patch erschienen ist, ist unklar. Generell halten sich Sicherheitsforscher an die Responsible-Disclosure-Regeln. Diese besagen unter anderem, dass Entwickler und Hersteller als Erstes von Lücken erfahren müssen und dann eine gewisse Zeit – oft 90 Tage – Zeit haben, darauf zu reagieren und Patches zu entwickeln. Erst wenn diese verfügbar sind, werden Details öffentlich gemacht. (des)
