来源:http://www.hengtaiboyuan.com 作者:恒泰博远 时间:2014-07-18
攻击者可以利用这个漏洞,从运行vBulletin5网站数据库窃取信息
流行vBulletin互联网论坛软件的开发人员,以解决SQL注入漏洞,可能允许攻击者读取和操作存储在vBulletin为基础的网站的数据库的信息发布紧急补丁周三。
需要手动应用的代码补丁发布了版本为5.0.4,5.0.5,5.1.0,5.1.1和vBulletin5.1.2,可以通过注册客户下载。该漏洞仅影响vBulletin5 - 正式名称为vBulletin5连接 - 而不是vBulletin4。
[InfoWorld的专家撰稿人告诉你如何保护您的Web浏览器在一个免费的PDF指南。今天下载! |了解如何保护您的系统与罗杰Grimes的安全顾问博客和安全中心的通讯,无论从资讯天地。 ]
“这个问题可能允许攻击者执行对数据库的SQL注入攻击,”韦恩说:卢克,在vBulletin技术支持领先,在官方支持论坛公布。 “建议所有用户尽快升级。”
谁拥有托管在vBulletin云服务,在他们的网站的客户将自动获得补丁作为常规维护的一部分,卢克说。 vBulletin版本5.1.3,这是目前在发展,而不是准备生产环境的alpha阶段,将包括固定在其下一个版本,他说。
SQL注入是一种比较常见的,但危险的Web应用程序漏洞,允许攻击者对一个网站的数据库中执行恶意的SQL命令。它可以被用来从像用户的详细信息数据库中读取敏感信息,写假信息到数据库中,并在某些情况下,甚至在服务器上执行任意代码。
据vBulletin的解决方案,才能培养商业论坛软件公司,超过10万社区网站上vBulletin运行,包括一些由Zynga,电子艺界,索尼电影,美国航空航天局,阀门股份有限公司等知名企业工作。
攻击者之前有针对性vBulletin为基础的网站。去年,黑客偷UbuntuForums.org,社区论坛Ubuntu的Linux发行超过180万的注册用户帐户的电子邮件地址和密码的哈希值。支持论坛的openSUSE的Linux发行版,它也运行在vBulletin,于过去砍死的两倍;最后一次在一月份被黑客谁声称已经使用了以前未知的vBulletin利用。
官方vBulletin论坛本身被攻破2013年11月后,临时服务器被意外遗留易受vBulletin安全问题修补几个星期前。
据周一发布在YouTube上的视频,新的SQL注入漏洞被发现和命名的Nytro的用户,谁是一个黑客社区论坛管理员称罗马尼亚安全小组(RST)报vBulletin的开发者。 Nytro证实补丁,因为他发现周四在RST论坛,并表示,他计划发布有关该漏洞在几天的细节,之后人们有机会更新该漏洞的可用性。
本文链接:http://www.hengtaiboyuan.com/jsdt/content_276 转载请注明来自北京恒泰博远科技有限公司
您的位置 :