vBulletin 3 Sicherheitslücke - SQL-Injection möglich

Über eine Schwachstelle in vBulletin können Angreifer eine SQL-Injection-Attacke vornehmen. vBulletin überprüft Eingaben in den Parameter x_invoice_num vor der Verwendung in einer SQL-Abfrage nicht ausreichend. Dies kann der Angreifer ausnutzen um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren. Die Sicherheitslücke ist bestätigt für die Versionen 3.0 bis 3.0.3.

.....

is ja looolig

Bislang ist noch kein Fix von Jelsoft vorhanden.

Sowas mag ich ja überhaupt nicht, wenn die dem Hersteller keine Zeit geben ein Hotfix rauszubringen.

Du kannst davon ausgehen, dass die Leute die sowas entdecken bzw. es veröffentlichen keine Entwickler sind und die Probleme die dadurch entstehen nicht nachvollziehen können.
Ich hab es mal ans vB Team gemeldet

.....

Kann man so nicht direkt sagen, es würde zeitlich mit dem Patch zusammenfallen allerdings gehen die da nicht davon aus, dass er kritisch ist. Mal gucken was Jo mir antwortet

Werden bei vB nicht alle GET/POST-Parameter von einer zentralen Funktion geprüft? Dachte mich an sowas zu erinnern...

Jepp eigentlich schon und der Fehler war dem vB Team noch nicht bekannt. Steve hatte mir aber gestern Abend noch geschrieben, dass es keine kritische Lücke sei und er meint, der kürzlich veröffentlichte Fix würde es beheben (wie rellek schon schrieb).

Womit besagter Patch (http://www.vbulletin-germany.com/for...ad.php?t=13334) gemeint ist?

mfg

Jepp. Zumindest gehe ich davon aus.

Viele Grüße
hj

*malblödfrage*

Empfiehlt es sich die alte "authorize"-php zu löschen, oder kann ich die neue einfach drüberspielen?

mfg

Die neue drüberzuspielen reicht.

Viele Grüße
hj

Oki - thx, hj.

mfg

Wenn man keine Bezahlabos anbietet, dann würde ich die authorize.php gleich löschen. Was nicht gebraucht wird, muss man dann nicht "sicher" machen.