Lue uutinen mobiilisivustolla

Suositusta foorumipaketista löytyi xss-aukko

18.3.2004 11:50 Www-sivujen keskutelualueiden toteutukseen käytetyssä vBulletin-foorumipaketissa on havaittu cross site scripting -haavoittuvuus. Aukkojen avulla hyökkääjä voi lähettää vBulletin-foorumiin muun muassa komentoja sisältäviä linkkejä.

Haavoittuvuuden löysivät GulfTech Computerin tutkijat. Haavoittuvuus liittyy vBulletin-foorumipaketin neljään php-tiedostoon.

Tietoturvayhtiö Secunian mukaan kahden tiedoston haavoittuvuus liittyy vBulletin versio 3.0 RC4:ään ja aikaisempiin versioihin. Kaksi muuta xss-hyökkäyksille (cross site scripting) altistavaa tiedostoa löytyvät ilmeisesti vain versio kolmea aiemmista paketeista, tietoturvayhtiö Secunia kertoo.

Hyökkääjä voi puuttellisen käyttäjäsyötteen tarkistuksen vuoksi kohdistaa tihutöitään muihin palvelun käyttäjiin ja muun muassa urkkia muiden käyttäjien tietoja palveluun liittyen.

Englantilaisen Jelsoft Enterpricen vBulletin on suosittu mysql- ja php-pohjainen www-sivujen keskustelualueiden toteutuspaketti.

Jaakko Kuivalainen toimitus@digitoday.fi

Kirjoita kommentti

Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias ja ystävällinen, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit. Varauduthan siihen, että linkkejä sisältävät viestit tarkistetaan yksitellen roskapostin suodattamiseksi. Arvostamme mielipidettäsi!
Lue koko keskusteluetiketti

Bottivarmistus: mitä on kaksi ynnä viisi?

Viesti Nimi

Uutiset

Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita

• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"
• Ruotsin Loreen Euroviisujen ylivoimaiseen voittoon
• Hyvinkään epäillyn ampujan motiivi yhä hämärän peitossa