Kritische Sicherheitlücke in vBulletin verrät MySQL-Login
Die beliebte Forensoftware vBulletin verrät mit minimalem Aufwand die Zugangsdaten zum MySQL-Server!
2010-07-26 00:00:00 2010-07-26 00:00:00 admin
In der Version 3.8.6 der Forensoftware vBulletin ist eine kritische Sicherheitlücke aufgetaucht. Verwendet man im FAQ Modul das Suchwort "Database", erhält der User die mySQL Zugangsdaten unverschlüsselt und gut lesbar.
In Patch ist bereits verfügbar.
Erfahrungen
http://fudforum.org/
Siehe auch:
http://secunia.com/advisories/product/5530/?task=statistics
Im Vergleich dazu vBulletin 3.x und 4.x:
http://secunia.com/advisories/product/3212/?task=statistics
Auf
http://www.forum-software.org/
kann man diese und andere Board-/Foren-Software schön vergleichen.
Für ne einfache private Seite würde ich auch vBulletin oder phpBB verwenden. Soll es allerdings professioneller sein, dann würde ich entweder etwas selbst programmieren. Klar wäre das "das Rad neu erfinden", aber nem Kunden kann man nicht plausibel erklären warum jemand auf seinem Server eingedrungen ist.
Im Prinzip müsste sowieso jeder Programmierer eine Open Source Software in- und auswendig kennen um auf solche Lücken reagieren zu können. Da dies jedoch zeitmässig soviel Zeit in Anspruch nimmt, kann man auch gleich selbst was programmieren mit PHPIDS absichern und man weiss einfach was man getan hat.
Hier Kannst Du einen Kommentar verfassen
Verwandte Beiträge
DENIC begrenzt Zugriff auf Domaindaten
Durch ein automatisches System will die DENIC ab 1. Juli die Zahl der whois-Abfragen in einem bestimmten Zeitintervall begrenzen und damit Massenabfragen verhindern. Damit will die DENIC Domaininhaber besser vor einer automatisierten Verwertung ihrer Adre ...
Autor :
admin
Kategorie:
Software & Web-Development
PHP 5 RC3RC1 kommt bald
Es wurde bekannt gegeben, dass eine Vorabversion von PHP 5 RC3 bald veröffentlicht werden soll, um im Vorfeld schon mal einige Funktionen zu testen und Fehler zu finden. Leider musste der Veröffentlichungstermin anfangs verschoben werden, da einige Proble ...
Autor :
admin
Kategorie:
Software & Web-Development
WEP-Verschlüsselung wurde geknackt
Scott Fluhrer, Itsik Mantin und Adi Shamir haben bereits Ende Juli eine gravierende Schwäche in der WEP (Wired Equivalent Privacy) Verschlüsselung des Wireless-LAN-(WLAN) Standards IEEE 802.11 aufgedeckt, die nun ein Student der Rice University zusammen m ...
Autor :
admin
Kategorie:
Software & Web-Development
Contentpapst 1.2 - Mehr als
Die Version 1.2 des flexiblen und preisgünstigen Content-Management-Systems "Contentpapst" ist weit mehr als "nur" eine stetige Weiterentwicklung der bisherigen Versionen. Contentpapst 1.2 bietet im Vergleich zu den Vorgänger-Versionen einen deutlichen Me ...
Autor :
admin
Kategorie:
Software & Web-Development
kostenlos Domains verwalten
Domains zur Eigennutzung, Vermarktung oder als Geldanlage, die Verwaltung des Domainportfolios stellt deren Inhaber immer wieder vor ungeahnte Herausforderungen und Schwierigkeiten, die mit einfach umgangen werden können. ...
Autor :
straupi
Kategorie:
Dies und Das
phpBB-Schwachstelle auch in anderen PHP-Forensysteme gefunden
Die Forensysteme Omegaboard, Cerulean Portal System, phpBB Tweaked, Hailboards, EclipseBB und Xero Portal haben die Schachstellen phpbb_root_path aus phpBB praktisch geerbt. Teilweise haben die Coder der Foren reagiert und Exploits veröffentlicht. ...
Autor :
admin
Kategorie:
Software & Web-Development