Phát hiện lỗ hổng bảo mật trên phần mềm vBulletin

Thứ sáu - 11/10/2013 12:03
Một lỗ hổng trong bộ phần mềm vBullentin đang bị hacker khai thác nhằm tạo các tài khoản admin bất hợp pháp. vBullentin vốn là mã nguồn được sử dụng trong nhiều diễn đàn mạng hiện nay.
Phát hiện lỗ hổng bảo mật trên phần mềm vBulletin

Một lỗ hổng trong bộ phần mềm vBullentin đang bị hacker khai thác nhằm tạo các tài khoản admin bất hợp pháp. vBullentin vốn là mã nguồn được sử dụng trong nhiều diễn đàn mạng hiện nay.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên vBulletin

Theo PCWorld, các nhà nghiên cứu của Imperva đã phát hiện lỗ hổng này trên các diễn đàn "ngầm" của hacker. Các phiên bản 4.x.x và 5.x.x của vBullentin bị ảnh hưởng của lỗi bảo mật này.

Trong tuyên bố của mình về lỗ hổng này, các nhà nghiên cứu cho biết đây có thể là cùng một lỗ hổng mà vBulletin công bố vào tháng 8. Các thông tin chi tiết về lỗ hổng bảo mật bị phát hiện vào tháng 8 cho tới giờ vẫn chưa được tiết lộ, song vào thời điểm đó vBulletin cũng đã đưa ra khuyến cáo xóa thư mục cài đặt trên bộ phần mềm của khách hàng.

Để khai thác lỗ hổng nói trên, hacker cần biết chính xác chuỗi địa chỉ (URL) của đoạn mã upgrade.php trong thư mục cài đặt của diễn đàn vBulletin mà chúng nhắm tới. Hacker cũng cần phải thu được số nhận dạng danh tính vBulletin (vBulletin ID) tương ứng với chủ tài khoản của diễn đàn này.

Để thu thập được các thông tin này, hacker sẽ tạo ra một đoạn mã PHP riêng biệt có khả năng quét các đường dẫn vBulletin bị sơ hở và thu thập số nhận dạng từ các trang upgrade.php. Một khi đã thu được các thông tin cần thiết, chúng chỉ cần tạo ra một tài khoản admin trái phép và tiến hành khai thác tài khoản này.

Phát hiện lỗ hổng bảo mật nghiêm trọng trên vBulletin

vBulletin Solutions, công ty đứng đằng sau vBulletin, đã từ chối xác nhận xem liệu lỗ hổng mới bị phát hiện có phải là lỗ hổng đã được khuyến cáo vào tháng 8 hay không.

"Chúng tôi đã cập nhật vBulletin 4 (vBulletin 4.2.2) và vBulletin 5 (vBulletin 5.0.5)", Wayne Luke, trưởng bộ phận kỹ thuật tại vBulletin Solutions cho biết. "Chúng tôi khuyến cáo khách hàng nên xóa thư mục cài đặt khi không cần dùng".

Các nhà nghiên cứu của Imperva cho biết đã phát hiện lưu lượng dữ liệu đi ra từ một diễn đàn sử dụng vBulletin 4.2.0 bị tấn công. Nhiều thông tin cũng đã xuất hiện xác nhận các vụ tấn công trên phiên bản 4.2.1. Hiện tại, chưa có thông báo nào cho biết các bản cập nhật vá lỗ hổng 4.2.2 và 5.0.5 có bị khai thác thành công hay không.

Thư mục mà vBulletin khuyến cáo xóa bỏ là /install trên vBulletin 4.1.x/core/install trên các bản 5.x. Những người dùng không thể xóa thư mục cài đặt nên sử dụng cơ chế tùy chỉnh (config) hoặc ứng dụng tường lửa để chặn các yêu cầu tới trang upgrade.php.

Được biết, cho tới nay vBulletin đã được chọn để xây dựng hơn 40.000 diễn đàn trên toàn cầu. Đây là phần mềm phát triển diễn đàn mạng phổ biến nhất trên thế giới, được xây dựng trên 2 công nghệ chính: Ngôn ngữ lập trình web PHP và hệ cơ sở dữ liệu MySQL.

Các khách hàng xây dựng diễn đàn dựa trên vBulletin sẽ được cung cấp sẵn một số giải pháp quản trị diễn đàn tương đối mạnh mẽ (quản lý thành viên, tối ưu bộ máy tìm kiếm, cung cấp giải pháp blog...) và các giao diện căn bản. Tại Việt Nam, một số diễn đàn nổi tiếng như vozForums và GameVN cũng sử dụng vBulletin.

Tác giả bài viết: Theo VnReview

Nguồn tin: http://www.quantrimang.com.vn

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

Những tin mới hơn

Những tin cũ hơn

Giấy phép sử dụng NukeViet

Bản dịch tiếng Việt của Giấy phép Công cộng GNU Người dịch&nbsp;Đặng Minh Tuấn <dangtuan@vietkey.net> Đây là bản dịch tiếng Việt không chính thức của Giấy phép Công cộng GNU. Bản dịch này không phải do Tổ chức Phần mềm Tự do ấn hành, và nó không quy định về mặt pháp lý các điều khoản cho các...

Thăm dò ý kiến

Lợi ích của phần mềm nguồn mở là gì?

Thống kê truy cập
  • Đang truy cập159
  • Máy chủ tìm kiếm2
  • Khách viếng thăm157
  • Hôm nay46,114
  • Tháng hiện tại1,099,177
  • Tổng lượt truy cập81,974,447
vinades
  • Hướng dẫn đăng bài chuẩn SEO lên hệ thống NukeViet CMS

    Hướng dẫn đăng bài chuẩn SEO lên hệ thống NukeViet CMS. Chi tiết hướng dẫn sẽ giúp các bạn tối ưu được website nói chung và bài viết nói riêng.
  • Domain là gì? Hosting & Server là gì? Tiêu chí lựa chọn domain

    Domain là gì? Hosting & Server là gì? Tiêu chí lựa chọn domain? Nếu bạn đang quan tâm đến những vấn đề này thì hãy cùng chúng tôi tìm hiểu ngay bài viết sau đây. Theo dõi ngay để biết được những thông tin hữu ích này trong quá trình sử dụng wesbite nhé.
  • Tổng quan về seo, những điều cần biết về seo

    Bạn hiểu như thế nào về SEO? Bạn đã thực sự nắm rõ SEO bao gồm những công việc gì và thực hiện ra sao hay chưa? Nếu chưa hãy cùng chúng tôi tìm hiểu ngay những thông tin hữu ích về SEO qua bài viết sau đây nhé.
  • [Mời thầu] Xây dựng hệ thống cổng thông tin tuần lễ phát triển thương mại điện tử ASEAN trên ứng...

    Cục thương mại điện tử và Kinh tế số đang mời thầu "Xây dựng hệ thống cổng thông tin tuần lễ phát triển thương mại điện tử ASEAN trên ứng dụng di động".
  • Tổng hợp kiến thức về Backlink

    Trong quá trình thực hiện SEO, Backlink là một trong những yếu tố được ưu tiên hàng đầu trong việc xếp hạng trên công cụ tìm kiếm. Bài viết này NukeViet sẽ tổng hợp toàn bộ kiến thức về Backlink, giúp bạn hiểu và tạo được Backlink chất lượng để website của bạn lên Top tìm kiếm.
  • Các thẻ meta trong SEO và cách kiểm tra

    Có lẽ những ai hoạt động trong lĩnh lực SEO - Marketing đều khá quen thuộc với những khái niệm như meta keywords, meta dsscription,... Biết chung là như vậy nhưng nếu haotj động trong lĩnh vực này thì cần phải hiểu rõ.
  • Hướng dẫn tạo Sitemap và Robots.txt chuẩn SEO

    Để dễ dàng lên TOP Google, index bài viết nhanh chóng, bạn cần biết cách tạo Sitemap và Robots.txt chuẩn SEO. Bài viết dưới đây, NukeViet sẽ hướng dẫn bạn cách làm thế nào để tạo ra Sitemap và Robots.txt một cách chuẩn SEO.
 
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây