受欢迎的互联网论坛软件vBulletin的开发人员周三发布了紧急补丁,以修复一个SQL注入漏洞。该漏洞可能让攻击者读取和操纵存储在vBulletin网站数据库中的信息。
vBulletin的5.0.4、5.0.5、5.1.0、5.1.1、5.1.2版本发布了需要手动应用的代码补丁,注册用户可以下载。这个漏洞只影响到vBulletin 5 -官方称为vBulletin 5连接,而不是vBulletin 4。
“这个问题可能会允许攻击者对你的数据库执行SQL注入攻击,”vBulletin的技术支持主管Wayne Luke说公告在官方支持论坛上。“建议所有用户尽快更新。”
卢克说,在vBulletin云服务上托管网站的客户将自动获得补丁,作为定期维护的一部分。他说,VBulletin 5.1.3版本目前处于开发的alpha阶段,还没有准备好投入生产环境,它将在下一个版本中包含这个补丁。
SQL注入是一个相对常见但危险的Web应用程序漏洞,它允许攻击者对站点的数据库执行恶意SQL命令。它可用于从数据库中读取用户详细信息等潜在的敏感信息,将虚假信息写入数据库,在某些情况下甚至可以在服务器上执行任意代码。
据开发商业论坛软件的vBulletin Solutions公司称,vBulletin上运行着超过10万个社区网站,包括一些由Zynga、艺电、索尼影业、美国宇航局、Valve公司和其他知名公司运营的网站。
攻击者以前也攻击过基于v公告的网站。去年,黑客从UbuntuForums.org窃取用户电子邮件地址和密码散列,一个Ubuntu Linux发行版的社区论坛,拥有超过180万的注册账户。同样在vBulletin上运行的openSUSE Linux发行版支持论坛在过去被黑客攻击过两次;上次是在1月份一个黑客声称使用了一个之前不为人知的vBulletin漏洞。
官方的vBulletin论坛本身也受到了损害2013年11月,一个登台服务器意外地受到了vBulletin安全问题的攻击,几个星期前,该安全问题被修补。
根据一个视频本周一,一个名叫Nytro的用户在YouTube上发现了新的SQL注入漏洞,并向vBulletin的开发人员报告了该漏洞。Nytro是一个名为“罗马尼亚安全团队”(RST)的黑客社区论坛的管理员。Nytro周四在RST论坛上确认了他发现的漏洞补丁的可用性,并表示他计划在几天内公布有关漏洞的细节,在人们有机会更新之后。