Вчера в публичном доступе появилось упоминание о найденной уязвимости в форумном движке vBulletin, а также детали этого 0day бага. Сегодня уязвимости был присвоен идентификатор CVE-2019-16759

Уязвимые версии — vBulletin 5.x (начиная с 5.0.0 и вплоть до новейшей 5.5.4). Найденный баг относится к категории pre-auth RCE, то есть даже не требует регистрировать аккаунт на форуме для удачной эксплуатации (достаточно простого HTTP POST-запроса). Сообщается, что данная RCE-уязвимость позволяет хакеру выполнять shell-команды на сервере с vBulletin.

 

Если Вы держите свой форум, то рано или поздно приходится думать о защите Вашего форума — ведь злоумышленники не дремлют! В этом топике я (при помощи хабраюзера ReaM ) собрал список советов по увеличению безопасности Вашего форума. Заинтересовало? Добро пожаловать под хабракат :)

Что нам стоит дом построить?

В наше время форумный движок vbulletin знаком многим. Кто-то его использует, кто-то тихо ненавидит, а кто-то выпрашивает у начальства финансы на покупку лицензии.
И в силу его известности поддержка этого движка есть у многих CMS, да только вот у MODx я не нашел нормального плагина/сниппета, а существующие были достаточно сыры, чтобы их использовать.
Дамы и господа, прошу любить и жаловать:

Недавно я писал, как сделать слияние пользователей vbulletin и MODx, но какой прок от этого, если связь между форумом и сайтом только в пользователях? Хочется какого-нибудь практического применения этого слияния, и для разминки сделаем вывод последних N сообщений с форума на сайте.

С момента анонса и запуска проекта Loginza нашей компанией в массы, прошло уже 3 месяца. За это время было проделано много работы: была проведена оптимизация скорости загрузки и работы виджета, небольшие косметические правки, но и так же мы расширили список поддерживаемых в виджете провайдеров авторизации.

В виджет добавились такие монстры как Вконтакте, Facebook, Twitter и Last.fm. Партнерство с mail.ru помогло нам сделать интеграцию с api.mail.ru более гибкой и с большим набором данных профиля, чем прежняя авторизация через openid.mail.ru.

Но самое главное, это пополнение ряда плагинов для таких CMS как Joomla, vBulletin, Drupal, блог движка Wordpress, движка интернет магазинов PrestaShop, но и для популярного форумного движка phpBB. Собственно о нем и речь.

В популярном движке для форумов vBulletin нашли интересную уязвимость — при вводе в поиске на странице FAQ слова «database» на экран выводится вся информация о подключения к MySQL серверу.

Проблему устранили в vBulletin версии 3.8.6-PL1.
Если верить разработчикам — данный баг был просто недосмотром, из движка забыли убрать часть дебаг-кода.

Сегодня через одного из моих друзей до меня докатилась новость об анонсе нового форумного движка XenForo. Его авторами являются два уважаемых разработчика Майк Салливан (Mike Sullivan) и Кир Дарби (Kier Darby), благодаря которым мир увидел VBulletin 3.x таким, какой он есть сейчас.

Рад сообщить, что первая публичная бета-версия нового форумного движка XenForo, о котором я уже писал, будет доступна уже в первую неделю октября. Точную дату объявят дополнительно. После старта беты будет объявлена также и дата финального релиза. Бета-версию смогут скачать только покупатели XenForo для тестирования. Продажи, как вы понимаете, стартуют сразу с выходом беты. Цены на форум таковы:

Несколько часов назад на официальном форуме VBulletin сотрудник Internet Brands с ником IBAdrian опубликовал заявление, из которого следует, что XenForo нарушает копирайт Internet Brands и по большей части просто скопирован с VBulletin.

Добрый день.

В этой статье я постараюсь вкратце описать архитектуру нового форумного движка XenForo, нового конкурента VBulletin и IPB, насколько это у меня получится после пары часов знакомства с исходником. О XenForo, спроектированном бывшими авторами VBulletin3, Киром и Майком, я уже немного писал.

По умолчанию кеширование в XenForo отключено. Кеширование выполняется с помощью Zend Framework, поэтому доступно большое разнообразие систем кеширования. И включить его очень просто.

Кир разместил на форуме учебный аддон, на котором можно продемострировать, как нужно писать аддоны для XenForo. Этим мы сейчас и займемся. Этот учебный аддон содержит парочку ошибок, возможно, для того, чтобы мы себя проявили, обнаружив и исправих их. Мы создадим такой же аддон с самого начала и позволим себе немного улучшить / исправить то, что получилось у Кира.

 

Есть в моем ведении несколько VPSов, на которых крутится… вообщем не моя зона ответственности, и потому крутится там то что крутится, в меру тормозит, в меру работает. И оказалось, что крутится на одном из них некий форум, и начал форум притормаживать. И захотелось разобраться…

В последние годы интернет настолько стремительно поразил общественность, что не только стал весомой частью человеческой жизнедеятельности, но также и ключевым фактором в развитии бизнеса. Интернет играет существенную роль и оказывает огромную помощь компаниям в ведении бизнеса и его развитии, даёт хлеб программистам, а также является отличным средством коммуникации для всех людей. Но чем бы был интернет без так называемого виртуального информационного пространства? Это пространство состоит из миллионов веб-сайтов.

Не важно, являетесь вы новичком, не знающим ничего о построении сайтов, или же умудрённый опытом профессионал, вы можете стать частью виртуального пространства, создав веб-сайт. Есть только один большой вопрос – каким образом? Естественно, вы можете нанять команду профессиональных дизайнеров, программистов и SEO-менеджеров, которые воплотят в жизнь вашу идею, либо же вы можете воспользоваться CMS (content management system).

Из всей огромной массы веб-сайтов, наполняющих интернет, около 31% используют CMS. Ниже представлен график, показывающий историческую динамику доли веб-сайтов на CMS, начиная с 1 сентября 2011 года до 19 сентября 2012 года. График показывает отчетливую положительную тенденцию в сторону увеличения доли сайтов с CMS, а всё потому, что эти инструменты делают вашу жизнь проще. Существует множество CMS, и вы можете выбрать наиболее подходящую для себя, в зависимости от целей и специфики вашего веб-сайта.

Новость далеко не из приятных но 20.07.13 был взломан официальный форум Ubuntu – ubuntuforums.org
Сейчас находится на этапе восстановления.

Сейчас при посещении форума выдаётся следующая информация



Детали атаки пока не известны, но есть основания полагать, что вся пользовательская информация была скомпрометирована, включая пароли, логин и адрес электронной почты.

Однако хоть пароль и хранился в хешированном виде, настоятельно рекомендуется сменить пароль от ubuntuforums.org на всех сервисах, где он также был использован.

Недавно на сайте vBulletin.com было опубликовано сообщение о вероятной подверженности эксплоитам файлов в инсталляционной папке.

15-го ноября на сайте поддержки vbulletin появилось предупреждение о необходимости смены пароля. Связано это с тем, что форум подвергся хакерской атаке. Не исключена утечка персональных данных, включая пароли (судя по скриншотам, могу сказать, что база утекла полностью).

Программисты — редкие люди. Мы можем сделать абсолютно всё, но интернет отвечает на это зияющей пустотой, где нужно делать абсолютно всё. Особенно если живёшь в непрофильных сообществах. Запросы со всех сторон, тут нужно подлатать, там плагинчик дописать, и никто, кроме тебя. Эта история — про один из таких пробелов, который я надеялся закрыть за неделю, и та неделя всё продолжается. В программе: дорожное строительство и велосипедисты, сайт для обмена картами лучше яндекса, осмеры без осма, архитектура плагинов в форумных движках и интерактивные карты прямо в хабре.