Forensoftware vBulletin: Patch schließt kritische Zero-Day-Lücke
Die Entwickler von vBulletin haben Patches bereitgestellt, die eine als kritisch eingestufte Sicherheitslücke schließen. Forenbetreiber sollten jetzt handeln.
![Foren-Software vBulletin: Patch schließt Zero-Day-Lücke](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/7/5/7/3/0/8/update-1672385_1280-6d9989910af006f6.jpeg)
(Bild: geralt)
Nachdem ein Sicherheitsforscher Anfang vergangener Woche auf eine Zero-Day-Lücke in der Foren-Software vBulletin hinwies, hat das Entwicklerteam nun Patches veröffentlicht. Wer ein Forum auf vBulletin-Basis (Versionsstrang 5.5.x) betreibt, sollte zügig updaten.
In einem Post im vBulletin-Forum teilten die Entwickler mit, dass Patches für die Versionen 5.5.2, 5.5.3 und 5.5.4 bereitstehen. Wer eine 5.5.x-er Version vor 5.5.2 nutze, solle mindestens auf 5.5.2 (inkl. aktuellem Patch) upgraden. Die Patches stehen in vBulletins" Member's Area" zum Download bereit. Die vBulletin-Cloud- Sites wurden laut den Entwicklern bereits ausnahmslos gepatcht.
Angriffe in freier Wildbahn
Als heise Security am gestrigen Mittwoch über die Sicherheitslücke berichtete, war ihr noch keine CVE-Nummer zugeordnet. Mittlerweile trägt sie die Kennung CVE-2019-16759; ihr CVSS-v3-Score beträgt 9.8 ("Critical").
Über Exploits in freier Wildbahn war zunächst nichts bekannt. Die IT-News-Website Bleeping Computer wies allerdings zwischenzeitlich in einer Meldung darauf hin, dass vBulletin-Nutzer im (nicht-öffentlichen) vBulletin-Forum von – teils erfolgreichen – Angriffen auf die Software berichteten. Umso wichtiger ist es, diese so zeitnah wie möglich zu aktualisieren.
(Bild: Screenshot / Bleeping Computer)
(ovw)