vBulletin, giallo su una vulnerabilità 0 day
Una vulnerabilità avrebbe permesso la compromissione del sito vBulletin e metterebbe a repentaglio tutti i siti web che fanno uso della piattaforma forum, ma la società ancora non ha fatto chiarezza
di Andrea Bai pubblicata il 04 Novembre 2015, alle 14:41 nel canale SicurezzaNel corso del fine settimana un individuo identificatosi con il nickname Coldzer0 ha dichiarato su vari forum e social media di aver violato il sito web vBulletin.com ottenendo informazioni personali di 479895 utenti.
A dimostrazione delle dichiarazioni Coldzer0 ha pubblicato alcuni screenshot, un video su YouTube e una serie di dettagli su una pagina Facebook, ma tuti questi elementi ora non sono più reperibili. A coronamento del tutto nel corso della giornata di martedì è emersa un'analisi di un presunto bug vecchio di tre anni che offrirebbe la possibilità di eseguire codice da remoto nei siti web che fanno uso di vBulletin.
Il team di sviluppo che si occupa del pacchetto software vBulletin, piattaforma usata da moltissimi siti web su internet per l'allestimento di forum di discussione, ha rilasciato una patch di sicurezza nella notte di lunedì, poco dopo essere venuti a conoscenza dell'attacco hacker sul sito che ha portato alla sottrazione di password e altre informazioni sensibili che appartengono ai quasi 480 mila sottoscrittori del servizio.
Gli sviluppatori hanno quindi imposto un reset della password per tutti gli utenti e hanno informato della disponibilità di una patch di sicurezza per le versioni dalla 5.1.4 alla 5.1.9 del software vBulletin Connect. Quel che però non è stato ancora esplicitato chiaramente è che l'attacco sarebbe frutto della vulnerabilità critica che metterebbe inoltre a repentaglio la sicurezza anche dei migliaia di siti web che usano la piattaforma vBulletin, almeno fino a quando non viene installata la patch correttiva.
L'esistenza di una vulnerabilità zero-day non è ancora stata confermata dagli sviluppatori di vBulletin, ma fino a quando sulla vicenda non sarà fatta sufficiente chiarezza è consigliabile la massima cautela a tutti coloro i quali fanno uso della piattaforma vBulletin sia in qualità di amministratori, sia in qualità di semplici utenti. Il consiglio è quello di cambiare le credenziali di accesso e di fare lo stesso anche su altri siti e servizi che fanno uso della stessa password.
Lenovo ThinkVision 3D 27, la steroscopia senza occhialini 
La Formula E può correre su un tracciato vero? Reportage da Misano con Jaguar TCS Racing
Lenovo LEGION e LOQ: due notebook diversi, stessa anima gaming
Windows 11 24H2, nuova conferma: verranno bloccate le CPU senza SSE4.2 e POPCNT
AGCM apre istruttoria su Enel: presunte irregolarità nella comunicazione dei rinnovi
Cuffie Sennheiser MOMENTUM 4 Wireless: qualità audio ad altissimi livelli e cancellazione adattiva del rumore, oggi in offerta a 256€
SSD 1080 PRO non è quello che pensate: si spaccia per SSD Samsung, ma è un falso
Ring Intercom ed Echo Pop: sconto imperdibile per l'accoppiata smart per la casa
ASML, intesa con il governo olandese: piano d'espansione a nord di Eindhoven
Portatile Low cost potentissimo: AMD Ryzen 7 5700U (8C/16T a 4,3GHz), 16GB RAM, SSD 512GB, Full HD e costa 469€ per utenti Prime!
I nuovi coupon nascosti di Amazon: ecco come risparmiare (anche tanto) su moltissimi prodotti in offerta (aprile 2024)
Torna il super tablet da 109€ con display 10.1" Full HD, 8GB/256GB, LTE e batteria da 8580mAh!
Continuano le super offerte su Google Pixel 8 e 8 Pro, top di gamma ed eccellenza fra gli smartphone Android
Meta copia Microsoft con Windows: il sistema operativo dei Quest a produttori di terze parti. Arriva il 'visore Xbox'
Blackmagic Design: arriva il nuovo software di video editing DaVinci Resolve 19
La sonda spaziale NASA Voyager 1 ricomincia a inviare dati ingegneristici utilizzabili
Blackmagic PYXIS 6K per riprendere filmati di alta qualità fino a 6K
_XXL.jpg)
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLa versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza
La versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza
Perchè il forum non fa parte del Core Business
Probabilmente sperano che dal 2006 (anno di rilascio della 3.6.0) ad oggi le falle di sicurezza siano state trovate tutte e tappate.
Quindi che si fa, admin? Smettiamo di usare il forum?
Che poi per aggiornare bastano 2 click -.-
Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)
Si ma paura o non paura è il loro lavoro. Ci sono metodi per abbassare il rischio ai minimi termini.
Altrimenti che facciamo? Ci teniamo le infrastrutture del 1800 perchè "abbiamo paura ad aggiornare?".
Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU
Anche a me... praticamente è inutilizzabile su tapatalk, ed è l'unico forum che conosca che ha problemi simili.
Che poi per un sito di tecnologia chiamato hardware upgrade è il colmo
Personalmente frequento un forum dedicato alla fotografia analogica (quindi anticaglie nella stragrande maggioranza dei casi) che è più aggiornato di hwupgrade
No, sarebbe stato il colmo se si fosse chiamato "Software Update".
In effetti vBulletin non ha niente a che vedere con l'hardware, velocità a parte (ed il forum è veloce, quindi va bene )
Probabilmente da qualche parte hanno una versione beta in sviluppo che non metteranno mai in campo perche' hanno poco tempo. Per loro magari non e' una priorita' per noi si'..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".