Forensoftware vBulletin: Schlecht programmiertes Testskript als mögliche Gefahr

In dem Skript vb_test.php zum Testen von Installationsvoraussetzungen für die Forensoftware vBulletin gibt es zwei Sicherheitslücken. Entfernte Angreifer hätten sie für Cross-Site-Scripting (XSS)-Angriffe sowie zum Exfiltrieren von Daten aus der von vBulletin genutzten MySQL-Datenbank missbrauchen können.

Zwar wurde die XSS-Lücke inzwischen geschlossen, berichtet Hanno Böck, der Entdecker der Lücken. Die laut Böck viel gravierende MySQL-Lücke besteht allerdings weiterhin. Er empfiehlt daher, das PHP-Skript nach der Verwendung sofort wieder vom Webserver zu löschen und die Gefahr auf diese Weise zu bannen.

Lücke trotz bereitgestelltem Fix noch offen

Das Entwicklerteam der vBulletin-Forensoftware stellt das Skript vb_test.php nebst Nutzungsanleitung für Personen bereit, die vor dem Kauf der Software erst einmal überprüfen wollen, ob ihre Server die Voraussetzungen für deren Betrieb erfüllen. Im Anschluss kann und sollte es eigentlich wieder entfernt werden. Das Skript verbleibt laut Böcks Recherchen dennoch recht häufig auf den Servern und ist dort mitunter gar via Google auffindbar – ein idealer Ausgangspunkt für potenzielle Angreifer.

Auf die von Böck gemeldeten Fehler habe das vBulletin-Team "schleppend" reagiert. Das Team habe zunächst angegeben, einen Fix entwickelt zu haben, in Wirklichkeit jedoch keine Änderungen an vb_test.php vorgenommen. Nach einem weiteren Hinweis sei vor rund 10 Tagen dann eine neue Version erschienen, aus der allerdings lediglich das XSS-Problem beseitigt worden war; der vorgenommene MySQL-Fix habe, erklärt Böck, nicht funktioniert.

Obwohl er dem Team anschließend einen funktionierenden Patch übermittelt habe, bestehe das Problem im Skript bis dato weiter. Somit bleibt die Empfehlung – völlig unabhängig vom derzeitigen Stand – das nicht mehr benötigte vb_test.php, sofern noch nicht geschehen, zu entfernen. (ovw)