VBulletin waarschuwt voor kritieke kwetsbaarheid in forumsoftware
VBulletin waarschuwt gebruikers en beheerders van de forumsoftware voor een kritieke kwetsbaarheid waardoor fora en websites kunnen worden overgenomen. Een beveiligingsupdate voor het probleem is gisteren beschikbaar gemaakt. Bij gebruikers van vBulletin Cloud-sites is de update automatisch geïnstalleerd. Specifieke details over kwetsbaarheid CVE-2020-12720 zijn nog niet vrijgegeven.
Het beveiligingslek werd ontdekt door onderzoeker Charles Fol, die tijdens een beveiligingsconferentie in juni uitgebreid op het beveiligingslek zal ingaan. Kwetsbaarheden in vBulletin zijn een geliefd doelwit van aanvallers, zo bleek vorig jaar september nog. Nu de update beschikbaar is zullen aanvallers die mogelijk reverse engineeren om zo de kwetsbaarheid te ontdekken en nog niet gepatchte websites aan te vallen. Beheerders van vBulletin Connect wordt dan ook opgeroepen om te updaten naar versie 5.6.1 Patch Level 1, versie 5.6.0 Patch Level 1 of 5.5.6 Patch Level 1.
"© 2001-2020 Security.nl - The Security Council" dus ik denk niet dat we vBulletin onder zit omdat security.nl daar geen copyright op heeft.
"© 2001-2020 Security.nl - The Security Council" dus ik denk niet dat we vBulletin onder zit omdat security.nl daar geen copyright op heeft.
Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:
vBulletin Forum Software Mar 2016 Mar 2016
Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:
vBulletin Forum Software Mar 2016 Mar 2016
er ooit (wellicht ter evaluatie) een vBulletin online heeft gestaan gedurende hooguit een maand nu nog iets zegt over
wat er nu draait?
Petje af voor security dot nl. Een ding kun je beweren, maar ze volgen wel de hier verworven veiligheidsinzichten.
Klein voorbeeldje wil je hebben? Gaat ie dan.
Secure Identifiers - 100% of the trackers on this site are helping protect you from NSA snooping.
Why not thank security.nl for being secure?
Zij worden namelijk gehost door een hoster uit de Xs4all Internet BV stal.
Dat zegt dus wel wat, als je begrijpt wat ik bedoel, Tom Poes. Dat zijn geen prutsers.
Groetjes,
luntrus
Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:
vBulletin Forum Software Mar 2016 Mar 2016
er ooit (wellicht ter evaluatie) een vBulletin online heeft gestaan gedurende hooguit een maand nu nog iets zegt over
wat er nu draait?
Dat is één theorie (tijdelijk hebben gedraaid). Mijn theorie is dat al snel de identifying tags zijn verwijderd, zodat van buitenaf niet meer is te zien dat er eigenlijk vBulletin draait. Een eigen fork dus.
Zij worden namelijk gehost door een hoster uit de Xs4all Internet BV stal.
Dat zegt dus wel wat, als je begrijpt wat ik bedoel, Tom Poes. Dat zijn geen prutsers.
software je draait op de machines die je daar host. En met de veiligheid bemoeien ze zich pas als het fout gegaan
is, bijvoorbeeld als je server gehacked is en ingezet wordt voor kwaadaardige activiteiten.
Er is NIET zo iets als een "proactieve houding van de hoster om te zorgen dat de klanten veilig zijn", bijv in de zin
dat men gaat checken of iedereen wel de laatste updates van hun forum of CMS heeft.
Dat kom je alleen tegen als je "services" afneemt, bijvoorbeeld een managed vBulletin service die beheerd wordt
door de hoster en waar jij dan alleen het functionele beheer over voert. Ik geloof niet dat XS4ALL dat levert, er was
ooit wel zo iets voor Exchange maar dat is dacht ik ook opgeheven.
Petje af voor security dot nl. Een ding kun je beweren, maar ze volgen wel de hier verworven veiligheidsinzichten.
Klein voorbeeldje wil je hebben? Gaat ie dan.
Secure Identifiers - 100% of the trackers on this site are helping protect you from NSA snooping.
Why not thank security.nl for being secure?
Because it isn't? googleanalytics en privacy gaan nu eenmaal niet niet samen.
Ik weet dat men denkt dat googleanalytics "veilig" en privé is, maar dat is niet werkelijk zo. De data daar wordt gebruikt voor allerlei andere Google belangen, zoals voor Recaptcha. Als je google sites blokkeert mag je van ze extra gratis tientallen puzzels oplossen op andere sites (waar privacy-onnozelen werken met geinflateerde ego's) omdat de antwoorden niet worden geaccepteerd. Lees: jij wordt voor letterlijk en figuurlijk voor Google's wagen gespannen om beelden te herkennen. Heel toevallig gaan die beelden over het verkeer, en heel toevallig is Google bezig met autonoom rijden. Google exploiteert zo miljoenen internetters om gratis voor ze te werken. Ja, dat is onethisch. Maar what else is new over Google? 'Don't be evil' is al lang verlaten.
Je bedoelt https://ssl.google-analytics.com/ga.js? Dat wordt nergens als NSA snooping aangegeven.
Google Analytics is kennelijk van alle schijn van belangenverstrengeling gevrijwaard. Door wie?
Ergo.. This cookie can be read by client-side JavaScript which might increase chances of stealing it in case of a successful Cross-Side Scripting attack. It's recommended that cookies storing authentication-related session token are protected by the flag. In de code
a("_getTracker", qf.prototype.oa, 0);
a("_getTrackerByName", qf.prototype.u, 51);
a("_getTrackers", qf.prototype.pa, 130);
a("_anonymizeIp", qf.prototype.aa, 16);
a("_forceSSL", qf.prototype.la, 125);
a("_getPlugin", Pc, 120)
Sample voorbeeld: 93154591.1568399511.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
Veiligheidsscore -6 en TLS/SSL afgekapt op een F-grade.
Zie: https://webcookies.org/cookies/www.security.nl/28378019
Maar ja Google code, kun je er omheen als je je niet in je been wilt schieten?
Ik vind van wel, maar vele anderen geenszins. En daar heb je dan het hele probleem.
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
