Wer ein Forum mit der vBulletin Forensoftware betreibt, sollte folgenden Hinweis beachten. In einem externen Script ist eine Sicherheitslücke gefunden worden, die Zugriff auf Javascript gibt und so Angriffe auf die Installation und den Server ermöglicht. Das Team, schreibt dazu in einer Mail an die Nutzer der Software:
In der Flashdatei uploader.swf der Yahoo User Interface (YUI) Bibliothek, die in vBulletin 4 genutzt wird,
existiert eine Sicherheitslücke, über die beliebiger Javaskript-Code ausgeführt werden kann.Da YUI2 nicht mehr weiterentwickelt wird, gibt es keine Fehlerbehebung von Yahoo.
Yahoo empfiehlt, die Datei uploader.swf vom Server zu löschen.Wir empfehlen, die Datei uploader.swf mit der leeren Datei uploader.swf aus dem Anhang des unten
verlinkten Beitrags zu ersetzen, damit vBulletin gezwungen wird, die javaskript-/ajax-basierte
Hochladefunktion zu nutzen. Alternativ können Sie auch die Datei
clientscript/yui/uploader/assets/uploader.swf löschen und mit einer neuen, gleichnamigen, leeren Datei ersetzen.Alle vBulletin 4 Pakete wurden mit der leeren uploader.swfDatei aktualisiert.
Die Sicherheitslücke umfasst laut dem Entwicklerteam die Version 2.5 bis 2.9 der Upload Bibliothek und auch dort empfiehlt man die betroffenen Dateien sofort zu löschen. Es ist aktuell auch nicht vorgesehen, eine gepatchte Version anzubieten um den Flash Upload wieder zu ermöglichen, da die entsprechende Daten nicht mehr länger weiter entwickelt wird. Die leere Datei kann hier herunter geladen werden:
Kommentar hinterlassen zu "vBulletin Sicherheitslücke"