vBulletin, giallo su una vulnerabilità 0 day
Una vulnerabilità avrebbe permesso la compromissione del sito vBulletin e metterebbe a repentaglio tutti i siti web che fanno uso della piattaforma forum, ma la società ancora non ha fatto chiarezza
di Andrea Bai pubblicata il 04 Novembre 2015, alle 14:41 nel canale SicurezzaNel corso del fine settimana un individuo identificatosi con il nickname Coldzer0 ha dichiarato su vari forum e social media di aver violato il sito web vBulletin.com ottenendo informazioni personali di 479895 utenti.
A dimostrazione delle dichiarazioni Coldzer0 ha pubblicato alcuni screenshot, un video su YouTube e una serie di dettagli su una pagina Facebook, ma tuti questi elementi ora non sono più reperibili. A coronamento del tutto nel corso della giornata di martedì è emersa un'analisi di un presunto bug vecchio di tre anni che offrirebbe la possibilità di eseguire codice da remoto nei siti web che fanno uso di vBulletin.
Il team di sviluppo che si occupa del pacchetto software vBulletin, piattaforma usata da moltissimi siti web su internet per l'allestimento di forum di discussione, ha rilasciato una patch di sicurezza nella notte di lunedì, poco dopo essere venuti a conoscenza dell'attacco hacker sul sito che ha portato alla sottrazione di password e altre informazioni sensibili che appartengono ai quasi 480 mila sottoscrittori del servizio.
Gli sviluppatori hanno quindi imposto un reset della password per tutti gli utenti e hanno informato della disponibilità di una patch di sicurezza per le versioni dalla 5.1.4 alla 5.1.9 del software vBulletin Connect. Quel che però non è stato ancora esplicitato chiaramente è che l'attacco sarebbe frutto della vulnerabilità critica che metterebbe inoltre a repentaglio la sicurezza anche dei migliaia di siti web che usano la piattaforma vBulletin, almeno fino a quando non viene installata la patch correttiva.
L'esistenza di una vulnerabilità zero-day non è ancora stata confermata dagli sviluppatori di vBulletin, ma fino a quando sulla vicenda non sarà fatta sufficiente chiarezza è consigliabile la massima cautela a tutti coloro i quali fanno uso della piattaforma vBulletin sia in qualità di amministratori, sia in qualità di semplici utenti. Il consiglio è quello di cambiare le credenziali di accesso e di fare lo stesso anche su altri siti e servizi che fanno uso della stessa password.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLa versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza
La versione attuale è la 5, siete un po arretrati, altro che solo una falla di sicurezza
Perchè il forum non fa parte del Core Business
Probabilmente sperano che dal 2006 (anno di rilascio della 3.6.0) ad oggi le falle di sicurezza siano state trovate tutte e tappate.
Quindi che si fa, admin? Smettiamo di usare il forum?
Che poi per aggiornare bastano 2 click -.-
Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)
che l'aggiornamento sia indolore e fili liscio come l'olio è tutt'altro un paio di maniche XD e che ci vogliano 2 click in questo caso non è del tutto esatto. (penso sia personalizzato, ci siano dei plugin e il numero di utenti e il numero di thread e messaggi, faccia paura agli admin e questo blocca loro nell'aggiornare)
Si ma paura o non paura è il loro lavoro. Ci sono metodi per abbassare il rischio ai minimi termini.
Altrimenti che facciamo? Ci teniamo le infrastrutture del 1800 perchè "abbiamo paura ad aggiornare?".
Mi da così fastidio, perchè ogni tanto LEGGO il forum da TapaTalk... ma appunto LEGGO, perchè non posso rispondere -.- mi da un errore "invalid thread id"
Ovviamente questa cosa succede solo sul forum di HWU
Anche a me... praticamente è inutilizzabile su tapatalk, ed è l'unico forum che conosca che ha problemi simili.
Che poi per un sito di tecnologia chiamato hardware upgrade è il colmo .
Personalmente frequento un forum dedicato alla fotografia analogica (quindi anticaglie nella stragrande maggioranza dei casi) che è più aggiornato di hwupgrade .
No, sarebbe stato il colmo se si fosse chiamato "Software Update".
In effetti vBulletin non ha niente a che vedere con l'hardware, velocità a parte (ed il forum è veloce, quindi va bene )
Probabilmente da qualche parte hanno una versione beta in sviluppo che non metteranno mai in campo perche' hanno poco tempo. Per loro magari non e' una priorita' per noi si'..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".