zurück zum Artikel

Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke

Olivia von Westernhagen
Foren-Software vBulletin: Patch schließt Zero-Day-Lücke

(Bild: geralt)

Die Entwickler von vBulletin haben Patches bereitgestellt, die eine als kritisch eingestufte Sicherheitslücke schließen. Forenbetreiber sollten jetzt handeln.

Nachdem ein Sicherheitsforscher Anfang vergangener Woche auf eine Zero-Day-Lücke in der Foren-Software vBulletin hinwies, hat das Entwicklerteam nun Patches veröffentlicht. Wer ein Forum auf vBulletin-Basis (Versionsstrang 5.5.x) betreibt, sollte zügig updaten.

In einem Post im vBulletin-Forum [1] teilten die Entwickler mit, dass Patches für die Versionen 5.5.2, 5.5.3 und 5.5.4 bereitstehen. Wer eine 5.5.x-er Version vor 5.5.2 nutze, solle mindestens auf 5.5.2 (inkl. aktuellem Patch) upgraden. Die Patches stehen in vBulletins" Member's Area" zum Download bereit [2]. Die vBulletin-Cloud- Sites wurden laut den Entwicklern bereits ausnahmslos gepatcht.

Angriffe in freier Wildbahn

Als heise Security am gestrigen Mittwoch über die Sicherheitslücke berichtete [3], war ihr noch keine CVE-Nummer zugeordnet. Mittlerweile trägt sie die Kennung CVE-2019-16759 [4]; ihr CVSS-v3-Score beträgt 9.8 ("Critical").

Über Exploits in freier Wildbahn war zunächst nichts bekannt. Die IT-News-Website Bleeping Computer wies allerdings zwischenzeitlich in einer Meldung darauf hin [5], dass vBulletin-Nutzer im (nicht-öffentlichen) vBulletin-Forum von – teils erfolgreichen – Angriffen auf die Software berichteten. Umso wichtiger ist es, diese so zeitnah wie möglich zu aktualisieren.

Screenshot / Bleeping Computer

(Bild: Screenshot / Bleeping Computer)

(ovw [6])

URL dieses Artikels:
https://www.heise.de/-4539833

Links in diesem Artikel:
[1] https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4
[2] https://www.vbulletin.com/en/customer/account/login/?goto=aHR0cHM6Ly9tZW1iZXJzLnZidWxsZXRpbi5jb20vcGF0Y2hlcy5waHA%3D
[3] https://www.heise.de/news/Sicherheitsforscher-warnt-vor-Zero-Day-Luecke-in-Foren-Software-vBulletin-4538732.html
[4] https://nvd.nist.gov/vuln/detail/CVE-2019-16759
[5] https://www.bleepingcomputer.com/news/security/vbulletin-zero-day-exploited-for-years-gets-unofficial-patch/
[6] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2019 Heise Medien