Mögliche Sicherheitslücke Server Support Forum

Thorsten · #1 25.01.2012, 11:21

In der vergangenen Nacht wurde eine Sicherheitslücke bei einem Hersteller eines vBulletin Plugins festgestellt. Dieses Plugin wird seit einigen Jahren auch im Server Support Forum eingesetzt.

Die Sicherheitslücke wurde durch das Einschleusen von manipulierten Inhalten auf der Herstellerseite ausgenutzt.

Am 25. Januar 2012 kam es ab 04:59 zu Datenbankfehlern im Server Support Forum. Diese stehen offenbar im direkten Zusammenhang mit oben genannter Problematik. Die Lücke konnte inzwischen durch den Hersteller des Plugins identifiziert und geschlossen werden. Das Server Support Forum wurde entsprechend aktualisiert.

Bisher ist davon auszugehen das keine sensiblen Daten aus dem Server Support Forum gestohlen, verändert oder ausgelesen werden konnten. Trotzdem empfehlen wir allen Benutzern die Kennworte ihres Benutzerkontos im Server Support Forum zu ändern.

Sollten weitere Details zu diesem Vorfall bekannt werden, werden wir sie an dieser Stelle veröffentlichen.

mfG
Thorsten

Ben. · #2 25.01.2012, 12:52

Du solltest ggf. eine Rundemail an alle schicken, denn wer nicht regelmässig hier vorbei schaut, hat ggf. ein Problem.

Jenstheclown · #3 25.01.2012, 13:35

oh backe

Thorsten · #4 25.01.2012, 14:09

Hallo!

Eine Information an alle Benutzer per Mail ist leider nicht möglich. Es gibt keine entsprechende Policy im Server Support Forum.

mfG
Thorsten

Bordey Bluenge · #5 25.01.2012, 14:54

oh mein gott oh mein gott oh mein gott

Kennt jemand mein PW? Habs grad nicht zur Hand ums zu ändern :P

Thorsten · #6 25.01.2012, 15:03

Hallo!

Dann nutze halt die Kennwort vergessen Funktion

.

mfG
Thorsten

virtual2 · #7 25.01.2012, 16:20

Zitat:

Zitat von Bordey Bluenge

oh mein gott oh mein gott oh mein gott

Wenn vBulletin mit gesalzenen hashes arbeitet sollte da kein großes Problem entstehen ^^

Joe User · #8 25.01.2012, 16:37

Hashcat sieht das mit dem "kein grosses Problem" etwas anders...

virtual2 · #9 25.01.2012, 18:58

Ein Wörterbuch ähnliches Spielzeug?

Bordey Bluenge · #10 25.01.2012, 19:06

Ich sehe Regenbogen?

Zitat:

Zitat von virtual2

Wenn vBulletin mit gesalzenen hashes arbeitet sollte da kein großes Problem entstehen ^^

Bei vBulletin mache ich mir da mehr Sorgen als bei anderer Foren Software

Aber da ich ja test234 anstatt test123 als Passwort nutze und das auch nur in jedem 2. Forum, wiege ich mich auf der sicheren Seite

Joe User · #11 25.01.2012, 19:18

Zitat:

Zitat von virtual2

Ein Wörterbuch ähnliches Spielzeug?

Eher ein gutes Werkzeug mit umfangreichen Möglichkeiten und optimierter Zielführung. Google hilft

SeToY · #12 26.01.2012, 07:17

Ist das diese vbSEO-Geschichte?

Thorsten · #13 26.01.2012, 07:38

Hallo!

Korrekt. Eine Zusammenfassung ist unter http://www.vbseo.com/f5/vbseo-securi...tml#post325758 veröffentlicht worden.

mfG
Thorsten

s24! · #14 30.01.2012, 20:51

Das ist natürlich - gerade beim SSF - "bitter". Aber schließlich ist kein System zu 100% sicher.. Und ich finde es sehr vorbildlich, dass die User hier äußerst zügig informiert worden sind.

Bordey Bluenge · #15 30.01.2012, 20:55

Das SSF ist "auch nur ein Forum basierend auf der vBulletin Software"

Ich denke die Thematik der Inhalte hat dann mit einer Lücke in der Software / einem Addon "erstmal" nicht viel gemein. Kann passieren. Wenn es transparent behandelt und zeitnah behoben wird, ist ja alles Rodger in Kambodga :P