الإعلان عن ثغرة أمينة خطيرة في vBulletin v3.8.6 (1 Viewer)

bichou

Well-Known Member
السلام عليكم ورحمة الله وبركاته

المجلة التقنية - الكاتب: Xacker
تم الإعلان عن ثغرة أمنية خطيرة في إحدى أكثر أنظمة المنتديات انتشاراً vBulletin v3.8.6، والتي تسمح للمهاجمين بالوصول إلى أي خادم MySQL يقوم بتشغيل المنتدى.
الثغرة تكمن في آلية البحث الموجودة في ملف FAQ.php والتي تقوم بإعادة نتائج البحث بعد المرور على ملف vbulletin-********.xml أثناء عملها، والذي بدوره يحوي على الكود التالي

كود PHP:
<![CDATA[Data**** Name: {$vbulletin->config['Data****']['dbname']}

Data**** Host: {$vbulletin->config['MasterServer']['servername']}

Data**** Port: {$vbulletin->config['MasterServer']['port']}

Data**** Username: {$vbulletin->config['MasterServer']['username']}

Data**** Password: {$vbulletin->config['MasterServer']['password']}]]>


وكما يظهر جلياً فإن البيانات هنا سيتم جلبها تلقائياً من ملف الإعدادات ووضعها داخل ملف اللغة الأمر الذي يؤدي من خلال استخدام كلمة البحث “data****” في صفحة FAQ إلى إظهار هذه البيانات لأي شخص كان عضواً أو عابر سبيل!

9c11900be4e07614.png

أكدت vBulletin وجود هذه الثغرة في الإصدار 3.8.6 من نظام المنتديات وقامت على الفور بطرح ترقيع أمني متوفر للتحميل، كما أنه تم ترقيع الحزمة الأصلية كاملة على خوادمهم لمن سيقوم بتحميلها لاحقاً حتى لا يضطر إلى إعادة تثبيت الترقيع أيضاً.

شخصياً أخذت بعض الوقت قبل الشروع بكتابة الخبر في استخدام محرك البحث المفضل وعبارة “powered by vBulletin 3.8.6″ بحثاً عن منتديات بهذا الإصدار لتجربة الثغرة لكن جميع النتائج جاءت سلبية (على الأقل في بضع عشرات المنتديات التي جربتها).


الأمر الملحوظ أيضاً أن بعض مزودي خدمات الاستضافة مثل HostGator قاموا بإضافة mod_security rule تقوم بمنع الوصول إلى صفحة faq.php في في حال كانت كلمة البحث هي “data****” وقاموا بتشغيل هذه الـ rule على جميع خوادمهم المشتركة shared hosting servers و reseller servers كإجراء وقائي ريثما يقوم معظم أصحاب المنتديات المستضافة لديهم بالتنبه وتثبيت الترقيع وهذا أمر جيد جداً منهم نأمل أن يحذو حذوه غيرهم من أصحاب هذه المزودات.


يمكن الإطلاع على تفاصيل أوفى حول الترقيع من هنا.

كود:
http://www.vbulletin.com/forum/showthread.php?357818-Security-Patch-Release-3.8.6-PL1




كود:

المصدر :http://www.exploit-db.com/********/14455/
# Exploit Title: vBulletin 3.8.6 faq.php Vulnerability
# Date: 24/07/2010
# Author: H-SK33PY
# Software Link: http://www.vbulletin.com/
# Version: 3.8.6
# Google dork : powered by vBulletin 3.8.6
# Platform / Tested on: linux
# Category: webapplications
# Code : N/A

#BUG:#########################################################################

Is perhaps one or the other known, but I find that really interesting that a great and mighty forum software like vBulletin can undermine the mistake that the MySQL password for any person to be visible.

The issue has been published this afternoon and vBulletin responded with a patch on it.

The faq.php was only indirectly affected, and serves more as an "issue" because an error was partly responsible for the phrases.

Where are the gaps?

Let's look at the /install/vbulletin-********.xml file and search for "data****_ingo" - what we find? Ah interesting:

##################################################################################################
<phrase name="data****_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Data**** Name: {$vbulletin->config['Data****']['dbname']}<br />
Data**** Host: {$vbulletin->config['MasterServer']['servername']}<br />
Data**** Port: {$vbulletin->config['MasterServer']['port']}<br />
Data**** Username: {$vbulletin->config['MasterServer']['username']}<br />
Data**** Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>
##################################################################################################

How do I use this from now?
We look for a forum, which is affected by this vulnerability, click above on "Help" / "FAQ", enter in "search terms" or "Search Word (s):" then "Data****"
(or data****) and a then see, aha, first hit:

##################################################################################################

Datenbank-Name: XXXXXXXXX

Datenbank-Server: localhost

Datenbank-Port: 3306

Datenbank-Benutzername: root

Datenbank-Kennwort: my4moo
##################################################################################################


Respectively English beeen at a board:

##################################################################################################
Data**** Name: pro_aXXXXXXXXXg_com

Data**** Host: localhost

Data**** Port: 3306

Data**** Username: pro_aXXXXXXXXXg

Data**** Password: gitl0st
##################################################################################################

On what to do with it, I think I need not dwell on it.

How do I protect myself?
As already posted a patch from the official vBulletin site, or by a MySQL query:

##################################################################################################
DELETE FROM `vb_phrase` WHERE `varname`='data****_ingo'


##################################################################​


 

Damas

Administrator
طاقم الإدارة
<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Nouvelle page 1</title>
</head>

<body>

<p align="center">
<img alt="http://img11.hostingpics.net/pics/353044merciiiiii.gif" src="http://img11.hostingpics.net/pics/353044merciiiiii.gif"></p>

</body>

</html>
 
أعلى