站長之家(ChinaZ.com) 9月25日 消息:據zdnet報導,一名匿名安全研究員日前公布了網際網路論壇軟體vBulletin零日漏洞的詳細信息。
安全專家擔心,公布此漏洞的詳細信息可能會引發網際網路上的一波論壇黑客攻擊,導致黑客控制論壇安裝並大量竊取用戶信息。
根據對已發布代碼的分析,零日允許攻擊者在運行vBulletin安裝的伺服器上執行shell命令。攻擊者不需要在目標論壇上註冊帳戶。用信息安全術語來說,就是無需預認證遠程代碼執行漏洞。關於該零日漏洞的細節已經完全在公眾訪問郵件列表披露。
正常情況下,當供應商未能修補私下報告的漏洞時,安全研究人員公布未修補的安全漏洞的細節並不罕見。截至發稿時間,尚不清楚匿名研究人員是否向vBulletin團隊報告了該漏洞,或者vBulletin團隊是否未能及時解決該問題,從而促使研究人員公開。此外,這也可能是故意的惡意或破壞行為,匿名研究人員公開漏洞只是為了損害vBulletin公司的聲譽,並把客戶置於風險之中。
vBulletin是當今最受歡迎的網絡論壇軟體包,市場份額大於 phpBB、 XenForo、 Simple Machines Forum、 MyBB等開源解決方案。
根據W3Techs的數據,大約0.1%的網際網路網站運行vBulletin論壇。這個百分比看起來很小,但它實際上影響了數十億網際網路用戶。Google dorks透露,有數以萬計的vbulletin論壇在網際網路上運行,其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos等。
所幸的是,該零日漏洞只對vBulletin 5.x論壇版本有效。如果客戶安裝最新的安全補丁,運行早期版本的論壇是安全的。