Để thu thập được các thông báo này, hacker sẽ tạo ra một đoạn mã PHP biệt lập có khả năng quét các đường dẫn vBulletin bị sơ hở và thu thập số nhận dạng từ các trang upgrade
Một khi đã thu được các thông báo cấp thiết, chúng chỉ cần tạo ra một tài khoản admin trái phép và tiến hành khẩn hoang tài khoản này. 0 bị tiến công. Php. Hiện tại, chưa có thông tin nào cho biết các bản cập nhật vá lỗ hổng 4.
Tại Việt Nam, một số diễn đàn nổi danh như vozForums và GameVN cũng dùng vBulletin. VBulletin Solutions, công ty đứng đằng sau vBulletin, đã từ khước công nhận xem liệu lỗ hổng mới bị phát hiện có phải là lỗ hổng đã được khuyến cáo vào tháng 8 hay không.
Php. 0. Các nhà nghiên cứu của Imperva cho biết đã phát hiện lưu lượng dữ liệu đi ra từ một diễn đàn dùng vBulletin 4. 5 có bị khai thác thành công hay không.
2 và 5. 1. Php trong thư mục cài đặt của diễn đàn vBulletin mà chúng nhắm tới. Các thông báo chi tiết về lỗ hổng bảo mật bị phát hiện vào tháng 8 cho tới giờ vẫn chưa được tiết lậu, song vào thời điểm đó vBulletin cũng đã đưa ra khuyến cáo xóa thư mục cài đặt trên bộ phần mềm của khách hàng.
Đây là phần mềm phát triển diễn đàn mạng phổ biến nhất trên thế giới, được xây dựng trên 2 công nghệ chính: tiếng nói lập trình web PHP và hệ cơ sở dữ liệu MySQL. Thư mục mà vBulletin khuyến cáo xóa bỏ là /install trên vBulletin 4. Các khách hàng xây dựng diễn đàn dựa trên vBulletin sẽ được cung cấp sẵn một số giải pháp quản trị diễn đàn tương đối mạnh mẽ (quản lý thành viên, tối ưu bộ máy kiêng kị, cung cấp giải pháp blog.
" Chúng tôi khuyến cáo khách hàng nên xóa thư mục cài đặt khi không cần dùng". 2) và vBulletin 5 (vBulletin 5. Các phiên bản 4. X. Việt Dũng. 2
Những người dùng chẳng thể xóa thư mục cài đặt nên dùng cơ chế tùy chỉnh (config) hoặc vận dụng tường lửa để chặn các đề nghị tới trang upgrade. Để khai hoang lỗ hổng nói trên, hacker cần biết chuẩn xác chuỗi địa chỉ (URL) của đoạn mã upgrade. 2. Theo PCWorld, các nhà nghiên cứu của Imperva đã phát hiện lỗ hổng này trên các diễn đàn "ngầm" của hacker.
0. ) Và các giao diện căn bản. " Chúng tôi đã cập nhật vBulletin 4 (vBulletin 4. 5) " , Wayne Luke, trưởng bộ phận kỹ thuật tại vBulletin Solutions, cho biết. X. X. 000 diễn đàn trên toàn cầu. X của vBullentin bị ảnh hưởng của lỗi bảo mật này.
Nhiều thông báo cũng đã xuất hiện công nhận các vụ tấn công trên phiên bản 4. 2. X và 5. Hacker cũng cần phải thu được số nhận dạng tính danh vBulletin (vBulletin ID) tương ứng với chủ tài khoản của diễn đàn này. VBullentin vốn là mã nguồn được sử dụng trong nhiều diễn đàn mạng giờ.
X và /core/install trên các bản 5. Được biết, cho tới nay vBulletin đã được chọn để xây dựng hơn 40. Trong tuyên bố của mình về lỗ hổng này, các nhà nghiên cứu cho biết đây có thể là cùng một lỗ hổng mà vBulletin công bố vào tháng 8. 2. 1. Một lỗ hổng trong bộ phần mềm vBullentin đang bị hacker khai khẩn nhằm tạo các account admin bất hợp pháp.
No comments:
Post a Comment