Lỗ hổng nguy cấp ảnh hưởng tới các diễn đàn của vBulletin

Hạnh Tâm| 14/05/2020 18:22
Theo dõi ICTVietnam trên

Nếu bạn đang chạy một diễn đàn thảo luận online dựa trên phần mềm vBulletin, hãy đảm bảo rằng phiên bản bạn đang dùng đã cập nhật bản vá bảo mật mới phát hành để xử lý một lỗ hổng bảo mật nguy cấp.

Mới đây, những người bảo trì dự án vBlulletin đã công bố một bản cập nhật vá lỗi quan trọng  cho nền tảng này, tuy nhiên không tiết lộ bất kỳ thông tin gì về lỗ hổng bảo mật (có số hiệu CVE02020-12720).

Một lỗ hổng nguy cấp không được tiết hộ ảnh hưởng tới các diễn đàn vBulletin  - Ảnh 1.

vBulletin được viết bằng ngôn ngữ lập trình PHP, là một phần mềm diễn đàn Internet nguồn mở, được sử dụng rộng rãi cho hơn 100.000 website, bao gồm cả các diễn đàn của một số công ty trong danh sách Fortune 500 và các công ty hàng đầu khác.

Tuy nhiên, phần mềm phổ biến này cũng là một trong những mục tiêu ưa thích của tin tặc. Vì vậy, việc không công bố chi tiết về lỗ hổng có thể giúp một số trang web cập nhật các bản vá trước khi các tin tặc khai thác lỗ hổng để tấn công các trang web, máy chủ và dữ liệu người dùng.

Cũng giống như trước đây, các nhà nghiên cứu và tin tặc đã dùng đến kỹ thuật đảo ngược (reverse-engineering) bản vá phần mềm để định vị và nắm bắt về lỗ hổng. 

Cơ sở dữ liệu quốc gia về lỗ hổng bảo mật (National Vulnerability Database) cũng đang phân tích lỗ hổng và tiết lộ rằng lỗ hổng có tính nguy cấp cao này có nguồn gốc từ một vấn đề kiểm soát truy nhập không đúng ảnh hưởng tới các phiên bản vBulletin 5.5.6pl1 trở về trước, phiên bản từ  5.6.0 đến 5.6.0pl1 trở về trước và 5.6.1 trước 5.6.1pl1.

Theo vBulletin: "Nếu bạn đang sử dụng phiên bản diễn đàn vBulletin 5 trước 5.5.2 thì bắt buộc bạn phải nâng cấp càng sớm càng tốt".

Cho đến thời điểm hiện tại không có bằng chứng (proof-of-concept) nào chứng minh rằng lỗ hổng đang bị khai thác.

Trong khi đó, Charles Fol, một kỹ sư bảo mật tại Ambionics xác nhận ông đã phát hiện và báo cáo lỗ hổng này tới nhóm vBulletin. Ông cũng có kế hoạch sẽ tiết lộ thêm thông tin tại hội nghị bảo mật CNTT của Pháp (SSTIC) diễn ra vào tháng tới.

Các nhà quản trị diễn đàn nên tải xuống và cài đặt các bản vá tương ứng cho phần mềm diễn đàn sau đây càng sớm càng tốt. Đó là: Bản vá cấp độ 1 cho 5.6.1, Bản vá cấp độ 1 cho  5.6.0,  Bản vá cấp độ 1 cho 5.5.6.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Lỗ hổng nguy cấp ảnh hưởng tới các diễn đàn của vBulletin
POWERED BY ONECMS - A PRODUCT OF NEKO