Veszélyben a vBulletin fórumok

Ha még nem történt meg, akkor mielőbb érdemes frissíteni a vBulletin fórumokat, mert egy súlyos sebezhetőséget tartalmaznak.
 

A népszerű vBulletin fórummotor fejlesztői még a múlt héten egy kritikus veszélyességű sebezhetőséget szüntettek meg az alkalmazás kódjában. Ez a hiba SQL injection alapú támadásokat segíthet elő, és teljes mértékben kiszolgáltatottá teheti a fórumok mögött meghúzódó adatbázisokat az adatlopásokkal, illetve a különféle manipulációkkal szemben. A sérülékenység a vBulletin 4-es kiadásait nem érinti, de az újabb 5-ös (5.0.4, 5.0.5, 5.1.0, 5.1.1 és 5.1.2) verziókat annál inkább sújtja.
 
A vBulletin jelezte, hogy a szükséges biztonsági frissítések már elérhetők, így azokat a regisztrált felhasználók könnyedén beszerezhetik és telepíthetik. Ugyanakkor a vBulletin Cloud szolgáltatás előfizetőinek nincs semmi tennivalójuk, ugyanis a hibajavítások már központilag felkerültek a rendszerre.
 
„A hiba lehetőséget adhat az elkövetők számára SQL injection típusú támadások indítására. Ezért mindenkinek azt javasoljuk, hogy amilyen hamar csak lehet, frissítse a fórumot" - buzdította a vBulletin oldalak üzemeltetőit Wayne Luke, a vBulletin technikai támogatásért felelős vezetője. A szakember igyekezete nem véletlen, hiszen az elmúlt időszakban neki is több biztonsági incidenssel kellett megbirkóznia.
 
Kedvelt célpont a vBulletin

Hasonlóan más, széles körben használt webes alkalmazásokhoz, a vBulletin megoldásai is gyakorta keltik fel a kiberbűnözők érdeklődését. A több tízezer kisebb látogatottságú vBulletin fórum mellett olyan nagy nevek is használják a szoftvert, mint amilyen például a Zynga, az Electronic Arts, a Sony Pictures és a NASA.
 
Az elmúlt időszak történései rávilágítottak arra, hogy a vBulletin sem sebezhetetlen. Tavaly az UbuntuForums.org esett áldozatául egy támadásnak, aminek következtében 1,8 millió felhasználói fiókhoz tartozó adat került veszélybe, de nem járt sokkal jobban a MacRumors és az openSUSE Linux fóruma sem. Az utóbbit már kétszer hackelték meg, legutóbb éppen januárban. 2013 novemberében pedig a vBulletin saját, hivatalos fórumoldala is térdre kényszerült egy biztonsági frissítés elmulasztása miatt.