Phát hiện lỗ hổng bảo mật trên phần mềm vBulletin

Thứ sáu - 11/10/2013 23:03
Một lỗ hổng trong bộ phần mềm vBullentin đang bị hacker khai thác nhằm tạo các tài khoản admin bất hợp pháp. vBullentin vốn là mã nguồn được sử dụng trong nhiều diễn đàn mạng hiện nay.
Phát hiện lỗ hổng bảo mật trên phần mềm vBulletin

Một lỗ hổng trong bộ phần mềm vBullentin đang bị hacker khai thác nhằm tạo các tài khoản admin bất hợp pháp. vBullentin vốn là mã nguồn được sử dụng trong nhiều diễn đàn mạng hiện nay.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên vBulletin

Theo PCWorld, các nhà nghiên cứu của Imperva đã phát hiện lỗ hổng này trên các diễn đàn "ngầm" của hacker. Các phiên bản 4.x.x và 5.x.x của vBullentin bị ảnh hưởng của lỗi bảo mật này.

Trong tuyên bố của mình về lỗ hổng này, các nhà nghiên cứu cho biết đây có thể là cùng một lỗ hổng mà vBulletin công bố vào tháng 8. Các thông tin chi tiết về lỗ hổng bảo mật bị phát hiện vào tháng 8 cho tới giờ vẫn chưa được tiết lộ, song vào thời điểm đó vBulletin cũng đã đưa ra khuyến cáo xóa thư mục cài đặt trên bộ phần mềm của khách hàng.

Để khai thác lỗ hổng nói trên, hacker cần biết chính xác chuỗi địa chỉ (URL) của đoạn mã upgrade.php trong thư mục cài đặt của diễn đàn vBulletin mà chúng nhắm tới. Hacker cũng cần phải thu được số nhận dạng danh tính vBulletin (vBulletin ID) tương ứng với chủ tài khoản của diễn đàn này.

Để thu thập được các thông tin này, hacker sẽ tạo ra một đoạn mã PHP riêng biệt có khả năng quét các đường dẫn vBulletin bị sơ hở và thu thập số nhận dạng từ các trang upgrade.php. Một khi đã thu được các thông tin cần thiết, chúng chỉ cần tạo ra một tài khoản admin trái phép và tiến hành khai thác tài khoản này.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên vBulletin

vBulletin Solutions, công ty đứng đằng sau vBulletin, đã từ chối xác nhận xem liệu lỗ hổng mới bị phát hiện có phải là lỗ hổng đã được khuyến cáo vào tháng 8 hay không.

"Chúng tôi đã cập nhật vBulletin 4 (vBulletin 4.2.2) và vBulletin 5 (vBulletin 5.0.5)", Wayne Luke, trưởng bộ phận kỹ thuật tại vBulletin Solutions cho biết. "Chúng tôi khuyến cáo khách hàng nên xóa thư mục cài đặt khi không cần dùng".

Các nhà nghiên cứu của Imperva cho biết đã phát hiện lưu lượng dữ liệu đi ra từ một diễn đàn sử dụng vBulletin 4.2.0 bị tấn công. Nhiều thông tin cũng đã xuất hiện xác nhận các vụ tấn công trên phiên bản 4.2.1. Hiện tại, chưa có thông báo nào cho biết các bản cập nhật vá lỗ hổng 4.2.2 và 5.0.5 có bị khai thác thành công hay không.

Thư mục mà vBulletin khuyến cáo xóa bỏ là /install trên vBulletin 4.1.x/core/install trên các bản 5.x. Những người dùng không thể xóa thư mục cài đặt nên sử dụng cơ chế tùy chỉnh (config) hoặc ứng dụng tường lửa để chặn các yêu cầu tới trang upgrade.php.

Được biết, cho tới nay vBulletin đã được chọn để xây dựng hơn 40.000 diễn đàn trên toàn cầu. Đây là phần mềm phát triển diễn đàn mạng phổ biến nhất trên thế giới, được xây dựng trên 2 công nghệ chính: Ngôn ngữ lập trình web PHP và hệ cơ sở dữ liệu MySQL.

Các khách hàng xây dựng diễn đàn dựa trên vBulletin sẽ được cung cấp sẵn một số giải pháp quản trị diễn đàn tương đối mạnh mẽ (quản lý thành viên, tối ưu bộ máy tìm kiếm, cung cấp giải pháp blog...) và các giao diện căn bản. Tại Việt Nam, một số diễn đàn nổi tiếng như vozForums và GameVN cũng sử dụng vBulletin.

Tác giả bài viết: Theo VnReview

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giới thiệu về Công ty cổ phần phát triển nguồn mở Việt Nam

Công ty cổ phần phát triển nguồn mở Việt Nam (VINADES.,JSC) là công ty mã nguồn mở đầu tiên của Việt Nam sở hữu riêng một mã nguồn mở nổi tiếng và đang được sử dụng ở hàng ngàn website lớn nhỏ trong mọi lĩnh vực. Wbsite đang hoạt động chính thức: http://vinades.vn/ Ra đời từ hoạt động của tổ chức...

Thăm dò ý kiến

Bạn biết gì về NukeViet 4?

Thống kê truy cập
  • Đang truy cập80
  • Máy chủ tìm kiếm3
  • Khách viếng thăm77
  • Hôm nay8,683
  • Tháng hiện tại28,533
  • Tổng lượt truy cập77,941,222
  • Đánh giá Cổng thông tin điện tử Phòng Giáo dục Thanh Oai

    Phòng Giáo dục Thanh Oai được NukeViet Edu Gate đánh giá đạt điểm tối đa trên website https://nukeviet.vn/vi/danh-gia-website/ của NukeViet. Hãy cùng theo dõi ngay bài viết sau để xem chi tiết những tiêu chí được đánh giá nhé!
  • Website muốn hoạt động phải làm những thủ tục gì để tránh bị phạt

    Để một trang website hoạt động được hiệu quả, tránh được những án phạt không đáng có doanh nghiệp cần tìm hiểu thật kỹ và đăng ký những loại giấy phép phù hợp cho website của mình. Vậy những giấy phép đó là gì? Mời bạn đọc theo dõi ngay bài viết viết sau đây của chúng tôi để trả lời những thắc mắc này nhé.
  • Thông báo phát hành NukeViet 4.5.00

    NukeViet 4.5 là phiên bản nâng cấp của phiên bản NukeViet 4.4 tập trung vào việc fix các vấn đề bảo mật, bất cập còn tồn tại, tối ưu trải nghiệm của người dùng
  • Đánh giá Cổng thông tin điện tử Phòng Giáo dục Hà Đông

    Bài viết dưới đây NukeViet Edu Gate sẽ tiến hành đánh giá Cổng thông tin điện tử Phòng Giáo dục Hà Đông dựa trên các thông tư, chỉ thị của Bộ GD&ĐT quy định trong giáo dục. Mời các bạn cùng theo dõi!
  • Đánh giá Cổng thông tin điện tử Phòng Giáo dục Dầu Tiếng

    Dưới đây NukeViet Edu Gate xin chia sẻ đến bạn bài đánh giá Cổng thông tin điện tử Phòng Giáo dục Dầu Tiếng, dựa trên các tiêu chí đánh giá website giáo dục của NukeViet.vn. Mời các bạn cùng theo dõi!
  • Đánh giá Cổng thông tin điện tử Phòng Giáo dục Bến Cát

    Từ những tiêu chí đánh giá website giáo dục của NukeViet.vn, chúng tôi sẽ tiến hành đánh giá Cổng thông tin điện tử Phòng Giáo dục Bến Cát để xem xét website đã phù hợp và tuân thủ theo các Thông tư, chỉ thị của Bộ GD&ĐT về một website chuẩn trong giáo dục hay chưa. Các bạn hãy cùng theo dõi ngay sau đây để nắm bắt các tiêu chí và từ đó tự đánh giá được cổng thông tin giáo dục của Sở/phòng mình đang quản lý.
  • [HOT] NukeViet Edu Gate ra mắt phần mềm Quản lý trung tâm luyện thi

    Nhằm giúp cho các Trung tâm luyện thi quản lý được những hoạt động chính tại trung tâm của mình như quản lý giáo viên, học sinh, lớp học, học phí..., đồng thời với mục đích đem đến cho các giáo viên, phụ huynh công cụ để quản lý học sinh, kết quả học tập của con mình tại trung tâm, NukeViet Edu Gate đã ra mắt phần mềm Quản lý trung tâm luyện thi với những chức năng ưu việt. Hãy theo dõi ngay bài viết dưới đây để xem có những chức năng gì nhé!
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây