Hallo,

bei heise online [1] wird ein Fehler in vB 3.6.5 gemeldet (Sql Injection), über den das offizielle TeamSpeak Forum bereits zum Verteiler für einen Trojaner gemacht wurde. Wäre dankbar für eine Stellungnahme.

[1] http://www.heise.de/newsticker/meldung/88285

Dieses Skript liefert allenfalls einen Password-Hash, jedoch nicht bei vBulletin. Diese gemeldete Lücke und das dazugehörige Skript funktioniert nur beim Forensystem "DeluxeBB".

Im Bugtracker bei vBulletin.com hat sich auch unser Entwickler Mike Sullivan dazu geäußert:

"It doesn't work. The SQL injection can't work--the table doesn't exist.

The only reason it even appears to work is because we always have an MD5 hash on the page. That's all the script checks for. Look at the logout hash."

http://www.vbulletin.com/forum/project.php?issueid=21838

vBulletin ist von dieser Sicherheitslücke nicht betroffen und wurde fälschlicherweise erwähnt.

Danke für die Klarstellung. Dann sollte heise online das schnellstens berichtigen.

;180631']Danke für die Klarstellung. Dann sollte heise online das schnellstens berichtigen.


Mittlerweile haben sie das getan...

Gruß - Xaron

Dieses Skript liefert allenfalls einen Password-Hash, jedoch nicht bei vBulletin. Diese gemeldete Lücke und das dazugehörige Skript funktioniert nur beim Forensystem "DeluxeBB".

Im Bugtracker bei vBulletin.com hat sich auch unser Entwickler Mike Sullivan dazu geäußert:

"It doesn't work. The SQL injection can't work--the table doesn't exist.

The only reason it even appears to work is because we always have an MD5 hash on the page. That's all the script checks for. Look at the logout hash."

http://www.vbulletin.com/forum/project.php?issueid=21838

vBulletin ist von dieser Sicherheitslücke nicht betroffen und wurde fälschlicherweise erwähnt.


Dann würde ich Heise.de verklagen:D