image

VBulletin waarschuwt voor kritieke kwetsbaarheid in forumsoftware

zaterdag 9 mei 2020, 08:11 door Redactie, 10 reacties

VBulletin waarschuwt gebruikers en beheerders van de forumsoftware voor een kritieke kwetsbaarheid waardoor fora en websites kunnen worden overgenomen. Een beveiligingsupdate voor het probleem is gisteren beschikbaar gemaakt. Bij gebruikers van vBulletin Cloud-sites is de update automatisch geïnstalleerd. Specifieke details over kwetsbaarheid CVE-2020-12720 zijn nog niet vrijgegeven.

Het beveiligingslek werd ontdekt door onderzoeker Charles Fol, die tijdens een beveiligingsconferentie in juni uitgebreid op het beveiligingslek zal ingaan. Kwetsbaarheden in vBulletin zijn een geliefd doelwit van aanvallers, zo bleek vorig jaar september nog. Nu de update beschikbaar is zullen aanvallers die mogelijk reverse engineeren om zo de kwetsbaarheid te ontdekken en nog niet gepatchte websites aan te vallen. Beheerders van vBulletin Connect wordt dan ook opgeroepen om te updaten naar versie 5.6.1 Patch Level 1, versie 5.6.0 Patch Level 1 of 5.5.6 Patch Level 1.

Reacties (10)
09-05-2020, 08:21 door The FOSS - Bijgewerkt: 09-05-2020, 08:23
Héé vBulletin! Is dat niet wat er onder http://security.nl zit? Dat is wel het grote probleem met eigen forks: upstream updates als deze.
09-05-2020, 14:02 door Anoniem
Door The FOSS: Héé vBulletin! Is dat niet wat er onder http://security.nl zit? Dat is wel het grote probleem met eigen forks: upstream updates als deze.
Volgens mij niet. Het forum voelt hier heel anders aan dat dat geavanceerde forum.
09-05-2020, 15:47 door meinonA
Door The FOSS: Héé vBulletin! Is dat niet wat er onder http://security.nl zit? Dat is wel het grote probleem met eigen forks: upstream updates als deze.

"© 2001-2020 Security.nl - The Security Council" dus ik denk niet dat we vBulletin onder zit omdat security.nl daar geen copyright op heeft.
09-05-2020, 18:39 door The FOSS
Door meinonA:
Door The FOSS: Héé vBulletin! Is dat niet wat er onder http://security.nl zit? Dat is wel het grote probleem met eigen forks: upstream updates als deze.

"© 2001-2020 Security.nl - The Security Council" dus ik denk niet dat we vBulletin onder zit omdat security.nl daar geen copyright op heeft.

Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:

Analytics and Tracking First Detected Last Detected
vBulletin Forum Software Mar 2016 Mar 2016
09-05-2020, 18:45 door Anoniem
Door The FOSS:
Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:

Analytics and Tracking First Detected Last Detected
vBulletin Forum Software Mar 2016 Mar 2016
Ok niks aan de hand dus. Waarom begon je er dan over? Je wist dit niet meer of je wilt suggeren dat het feit dat
er ooit (wellicht ter evaluatie) een vBulletin online heeft gestaan gedurende hooguit een maand nu nog iets zegt over
wat er nu draait?
10-05-2020, 00:08 door Anoniem
Wat een ongefundeerd geleuter weer, goed opgemerkt anoniem van 18:45 heden.

Petje af voor security dot nl. Een ding kun je beweren, maar ze volgen wel de hier verworven veiligheidsinzichten.
Klein voorbeeldje wil je hebben? Gaat ie dan.
Tracker SSL result ->
Secure Identifiers - 100% of the trackers on this site are helping protect you from NSA snooping.
Why not thank security.nl for being secure?

Zij worden namelijk gehost door een hoster uit de Xs4all Internet BV stal.
Dat zegt dus wel wat, als je begrijpt wat ik bedoel, Tom Poes. Dat zijn geen prutsers.
Groetjes,

luntrus
10-05-2020, 08:34 door The FOSS
Door Anoniem:
Door The FOSS:
Zie BuiltWith: https://builtwith.com/detailed/security.nl en zoek in die pagina op vBulletin. Dan vind je:

Analytics and Tracking First Detected Last Detected
vBulletin Forum Software Mar 2016 Mar 2016
Ok niks aan de hand dus. Waarom begon je er dan over? Je wist dit niet meer of je wilt suggeren dat het feit dat
er ooit (wellicht ter evaluatie) een vBulletin online heeft gestaan gedurende hooguit een maand nu nog iets zegt over
wat er nu draait?

Dat is één theorie (tijdelijk hebben gedraaid). Mijn theorie is dat al snel de identifying tags zijn verwijderd, zodat van buitenaf niet meer is te zien dat er eigenlijk vBulletin draait. Een eigen fork dus.
10-05-2020, 11:08 door Anoniem
Door Anoniem:
Zij worden namelijk gehost door een hoster uit de Xs4all Internet BV stal.
Dat zegt dus wel wat, als je begrijpt wat ik bedoel, Tom Poes. Dat zijn geen prutsers.
Dat zegt HELEMAAL NIKS. Zoals je weet bemoeien de meeste hosters (en zeker XS4ALL) zich niet met wat voor
software je draait op de machines die je daar host. En met de veiligheid bemoeien ze zich pas als het fout gegaan
is, bijvoorbeeld als je server gehacked is en ingezet wordt voor kwaadaardige activiteiten.
Er is NIET zo iets als een "proactieve houding van de hoster om te zorgen dat de klanten veilig zijn", bijv in de zin
dat men gaat checken of iedereen wel de laatste updates van hun forum of CMS heeft.
Dat kom je alleen tegen als je "services" afneemt, bijvoorbeeld een managed vBulletin service die beheerd wordt
door de hoster en waar jij dan alleen het functionele beheer over voert. Ik geloof niet dat XS4ALL dat levert, er was
ooit wel zo iets voor Exchange maar dat is dacht ik ook opgeheven.
11-05-2020, 10:17 door Anoniem
Door Anoniem: Wat een ongefundeerd geleuter weer, goed opgemerkt anoniem van 18:45 heden.

Petje af voor security dot nl. Een ding kun je beweren, maar ze volgen wel de hier verworven veiligheidsinzichten.
Klein voorbeeldje wil je hebben? Gaat ie dan.
Tracker SSL result ->
Secure Identifiers - 100% of the trackers on this site are helping protect you from NSA snooping.
Why not thank security.nl for being secure?

Because it isn't? googleanalytics en privacy gaan nu eenmaal niet niet samen.

Ik weet dat men denkt dat googleanalytics "veilig" en privé is, maar dat is niet werkelijk zo. De data daar wordt gebruikt voor allerlei andere Google belangen, zoals voor Recaptcha. Als je google sites blokkeert mag je van ze extra gratis tientallen puzzels oplossen op andere sites (waar privacy-onnozelen werken met geinflateerde ego's) omdat de antwoorden niet worden geaccepteerd. Lees: jij wordt voor letterlijk en figuurlijk voor Google's wagen gespannen om beelden te herkennen. Heel toevallig gaan die beelden over het verkeer, en heel toevallig is Google bezig met autonoom rijden. Google exploiteert zo miljoenen internetters om gratis voor ze te werken. Ja, dat is onethisch. Maar what else is new over Google? 'Don't be evil' is al lang verlaten.
11-05-2020, 12:53 door Anoniem
@ anoniem van 10:17

Je bedoelt https://ssl.google-analytics.com/ga.js? Dat wordt nergens als NSA snooping aangegeven.
Google Analytics is kennelijk van alle schijn van belangenverstrengeling gevrijwaard. Door wie?

Ergo.. This cookie can be read by client-side JavaScript which might increase chances of stealing it in case of a successful Cross-Side Scripting attack. It's recommended that cookies storing authentication-related session token are protected by the flag. In de code
a("_createTracker", qf.prototype.hb, 55);
a("_getTracker", qf.prototype.oa, 0);
a("_getTrackerByName", qf.prototype.u, 51);
a("_getTrackers", qf.prototype.pa, 130);
a("_anonymizeIp", qf.prototype.aa, 16);
a("_forceSSL", qf.prototype.la, 125);
a("_getPlugin", Pc, 120)
Sample voorbeeld: 93154591.1568399511.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
This cookie expires in 730 days

Veiligheidsscore -6 en TLS/SSL afgekapt op een F-grade.
Zie: https://webcookies.org/cookies/www.security.nl/28378019

Maar ja Google code, kun je er omheen als je je niet in je been wilt schieten?
Ik vind van wel, maar vele anderen geenszins. En daar heb je dan het hele probleem.

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.