Forensoftware vBulletin: Weitere Sicherheits-Patches veröffentlicht
Auf Patch-Level 1 folgte zĂĽgig Patch-Level 2 fĂĽr die Foren-Software. Angesichts jĂĽngst erfolgter Angriffe auf vBulletin-Foren sollte man zĂĽgig updaten.
Nachdem die Entwickler der Forensoftware vBulletin erst kürzlich eine gefährliche Zero-Day-Lücke schlossen, haben sie nun noch einmal nachgebessert: Neue Patches beseitigen (je nach bisher verwendeter Version) diverse weitere Sicherheitslücken, von denen mehrere aus der Ferne ausnutzbar sind.
Wie einem Beitrag der Entwickler im vBulletin-Forum zu entnehmen ist, heben die Aktualisierungen die vBulletin-Versionen 5.5.2, 5.5.3 und 5.5.4 jeweils auf den Patch-Level 2. Nutzer einer Software-Version vor 5.5.2 sollten laut der Entwickler zunächst schnellstmöglich mindestens auf 5.5.2 upgraden. Für den aktuellen Patch-Download verweisen sie auf die "Member's Area" der vBulletin-Website.
Proof-of-Concept-Code öffentlich verfügbar
Welche und wie viele SicherheitslĂĽcken das neue Patch-Level 2 konkret beseitigt, ist dem Forenbeitrag nicht zu entnehmen. Das CERT-Bund verweist aber in einer aktuellen Kurzinfo auf die LĂĽcken CVE-2019-17130, CVE-2019-17131 und CVE-2019-17132.
Erstere betraf offenbar die Behandlung externer URLs aus bestimmten Verzeichnissen heraus; das Patch-Level 2 beziehungsweise die (bislang nur als Alpha verfügbare) Version 5.5.5 bessern hier nach. Die zweite Lücke ermöglichte so genanntes "Clickjacking" – allerdings wohl nur in vBulletin-Versionen vor 5.4.4.
Deutlich mehr Informationen, inklusive Proof-of-Concept (PoC)-Code, gibt es zu CVE-2019-17132. Die Lücke ist remote ausnutzbar, betrifft alle vBulletin-Versionen (vor Patch-Level 2) gleichermaßen und ermöglicht Angreifern unter bestimmten Voraussetzungen das Injizieren und Ausführen beliebigen PHP-Codes im Kontext der Foren-Software. Ihr Entdecker hat darüber hinaus auch PoC-Code für eine weitere Lücke (CVE-2019-17271) veröffentlicht, die ihm selbst zufolge ebenfalls mit dem neuen vBulletin-Patch gefixt wurde.
Unbedingt zeitnah updaten
Mit dem Patch-Level 1 hatten die Forensoftware-Entwickler erst Ende vergangenen Monats eine als kritisch eingestufte LĂĽcke geschlossen. Sie wurde aktiv ausgenutzt: Unter anderem gelang es einem Hacker, mehrere Foren des Sicherheitssoftware-Herstellers Comodo zu kapern und Daten von mindestens 170.000 Nutzern zu kopieren.
Angesichts des veröffentlichten PoC-Codes für die neuen Lücken und vBulletins wenig transparenter Patch-Politik sollten Forenbetreiber nun erst recht zügig handeln. (ovw)