Mögliche Sicherheitslücke in allen vBulletin Versionen

**Fabio Köcher** · 09-05-2010 06:47 AM

Liebe Kunden,

dieser Hinweis ist dafür da, um alle deutschen Kunden von vBSEO über eine mögliche Sicherheitslücke aufzuklären, welche in allen vBulletin Versionen unter einschließlich 3.8.6 PL1 eintreten kann. Die Details über diesen Exploit findet ihr hier:

vBulletin 3.8.4 & 3.8.5 Registration Bypass Vulnerability

Das funktioniert nach folgendem Prinzip:

1. Gehe auf http://[localhost]/path/register.php

2. Gehen wir einmal davon aus, dass der Benutzer mit Administrationsrechten den Benutzernamen ADMIN nutzt.

3. Registriere dich mit dem Benutzernamen ADMIN&#00

4. Schließe den Registrierungsprozess ab.

5. Nun wirst du sehen, dass dein Benutzername genau so wie der von ADMIN angezeigt wird.

Damit ist es möglich, dass Private Nachrichten, die normalerweise der Benutzer ADMIN erhalten sollte, nun an dich gesendet werden.

Die Lösung (temporär):

Diese Lösung ist temporär, bis vBulletin diesen Exploit offiziell macht. Man sollte vermeiden, dass die Benutzer Zeichen wie & und # bei der Registrierung verwenden. Dafür könnt ihr folgende Regel eintragen:

AdminCP -> vBulletin-Einstellungen -> Benutzer: Registrierung -> Benutzername mit Regulären Ausdrücken überprüfen

Code:

^[a-zA-Z0-9\.@_ ]+$

Damit können Benutzer alle alphanumerische Zeichen, die Zeichen @, _, und das Leerzeichen für ihren Benutzernamen verwenden.

Quellen:

Security flaw found in all vBulletin versions

Potential security issue in all vB versions

Diskussion auf vBulletin.com:

vBulletin Community Forum

Viele Grüße.

**Jann Hendrik** · 09-05-2010 11:39 AM

Danke für den Hinweis!

**Micky_1** · 09-06-2010 01:23 PM

Hi Fabio,

gilt das jetzt nur für die 3.8.x Boards oder auch für die 4.0.x Boards? Und was ist wenn diese Regel drin ist und es gibt schon User die z.B. das &-Zeichen verwenden, können die sich nicht mehr einloggen?

**Fabio Köcher** · 09-06-2010 01:26 PM

Hallo Michael,

das betrifft alle vBulletin 3 Foren. Diese Regel wirkt sich nur auf Neuanmeldungen aus und beugt somit "nur" vor.

Gruß,
Fabio

**Micky_1** · 09-06-2010 01:34 PM

Okay, dann betrifft es mich ja nicht.

**thompson** · 09-09-2010 02:09 PM

danke für den hinweis.

**Schwabi** · 09-10-2010 09:47 PM

Hallo,

der User kann damit aber "nur" die PNs an den Admin abfangen, oder hat er gar Admin-Rechte?

**Fabio Köcher** · 09-10-2010 09:49 PM

"Nur" die PNs abfangen. Er hat dann praktisch einen Fake-Account.

**Schwabi** · 09-10-2010 09:59 PM

Ui, hoffentlich wird das schnell gefixt. Danke für diese wichtige Info!

Mögliche Sicherheitslücke in allen vBulletin Versionen

LinkBack

Thread Tools

Display

Mögliche Sicherheitslücke in allen vBulletin Versionen

Similar Threads

habe ich unterschiedliche Sprachdatei-Versionen?

Frage zu den Ordnerrechten der vb-Sitemap (Sicherheitslücke?)

Welche vB Versionen werden unterstützt

vBSEO Google/Yahoo Sitemap Generator for vBulletin 3.6.x, vBulletin 3.5.x & vBulletin 3.0.x

Posting Permissions