Sicherheitslücke in vB Versionen bis 3.8.5 ermöglicht gleichnamige Benutzer

[StarBuG]

http://www.exploit-db.com/exploits/14833/

Worum es geht:
Wenn ich der Administrator bin (StarBuG uid 1) kann der Hacker einen Benutzer registrieren (StarBuG uid 3654).

Wenn es im Forum erlaubt ist den Benutzertitel zu wechseln kann der Hacker sich als Administrator im Forum ausgeben.
Benutzergruppen Rechte sind davon nicht betroffen also administrative Tätigkeiten kann er nicht durchführen.
Aber, da der Benutzername der selbe ist wie der des Admins wird er alle Privaten Nachrichten ebenfalls erhalten, die an den Admin gerichtet sind.

Der einzige Fix der aktuell zur Verfügung steht ist das Filtern der Usernamen nach bestimmten Zeichen.

In "vBulletin Einstellungen > Benutzer: Registrierung > Benutzername mit Regulären Ausdrücken überprüfen" gebt ihr ein:

^[a-zA-Z0-9_.-öäüÖÄÜß\s]+$

Diese Regular Expression lässt die Registrierung nur mit den alphanumerischen Zeichen, Umlauten, Unterstrich, Bindestrich und Punkt zu.

Original geschrieben von Florens hier: http://www.axivo.com/forum/showthread.php?t=138

ps: Ich bin kein RegExp Experte, sollte meine deutsche Version Fehler aufweisen bitte ich um die Korrektur

[MrD]

Hi,
habe bei mir diese drinstehen
Da ich auch keine ÖÄÜ Erlaube
^[A-Z0-9\ \-\_\.]+$

[Bianca]

Das ist interessant mich wuerde interessieren was vB dazu sagt.

[Rolli]

Ist der Bug nur in den beiden bisher bekannten Versionen oder tritt dieser auch bei anderen Versionen auf?

[Bianca]

Ich weiss nur das er in vB 3 auch ist, siehe da

http://www.vbulletin-germany.com/for...342#post320342

[pogo]

Das ist interessant mich wuerde interessieren was vB dazu sagt.

Ich konnte das Problem nur in 3.8.5 und 3.8.4 (tiefer hab ich nicht mehr getestet) nachvollziehen.


In 3.8.6 PL1, 4.0.6 Suite und 4.0.6 Forum PL1 war es nicht reproduziertbar.

[Bianca]

Hi Pogo,

vielen Dank fuer Deine Reaktion.

[SeToY]

Das heißt also, Nutzer von vBulletin Suite 4.0.6 sind sicher?

[Valério Leitner]

Das heißt also, Nutzer von vBulletin Suite 4.0.6 sind sicher?

ja

[Onur]

\s sind sämtliche whitespaces, ich würde nur das norme leerzeichen erlauben

andernfalls könnte es zwei User mit "gleichem" Namen geben

[SeToY]

Wenn ich es hier teste, und s.molinari&#00 eingebe, kommt:
Dieser Benutzername ist bereits vergeben oder erfüllt nicht die vom Administrator festgelegten Richtlinien.
Falls Sie s.molinari&#00 sind: Haben Sie vielleicht Ihr Kennwort vergessen?

Bei mir im Forum jedoch (SeToY&#00):
Username is valid and not in use.

Also irgendwie traue ich dem noch nicht so ganz...

[Bianca]

Also ich habe das soeben mal aus probiert.

Ich nutze noch vB 4.0.5 und der User Bianca&#00 bekommt keine Kopie von den Pns die der User Bianca bekommt.


EDIT: Interessant ist nur das dieser Kaese schon wieder drin steht

AfrikaansAlbanianArabicBelarusianBulgarianCatalanChineseCroatianCzechDanishDetect languageDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian Creole ALPHAHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianR ussianSerbianSlovakSlovenianSpanishSwahiliSwedishThaiTurkishUkrainianVietnameseWelshYiddish*⇄*AfrikaansAlbanianArabicBelarusianBulgarianCatalanChinese CroatianCzechDanishDutchEnglishEstonianFilipinoFinnishFrenchGalicianGermanGreekHaitian Creole ALPHAHebrewHindiHungarianIcelandicIndonesianIrishItalianJapaneseKoreanLatvianLithuanianMacedonianMalayMalteseNorwegianPersianPolishPortugueseRomanianR ussianSerbianSlovakSlovenianSpanishSwahiliSwedishThaiTurkishUkrainianVietnameseWelshYiddishDetect language » Hungarian

[Ramses]

Vielleicht solltest du deinen PC mit einem Anti-Virenprogramm überprüfen Bianca?

[Bianca]

Alles schon gemacht. Nichts gefunden.
Habe das Problem auch nur, wenn ich etwas in den vB Einstellungen eingebe und wenn ich den Fuchs dann nutze.
In IE und Opera ist alles fein.

[pogo]

Bei mir im Forum jedoch (SeToY&#00):
Username is valid and not in use.

Also irgendwie traue ich dem noch nicht so ganz...

Passiert bei mir in deinem Forum nicht.

[pogo]

Also ich habe das soeben mal aus probiert.

Ich nutze noch vB 4.0.5 und der User Bianca&#00 bekommt keine Kopie von den Pns die der User Bianca bekommt.

Wenn die Registrierung mit &#00 am Ende klappt fehlen diese 4 Zeichen nach der erfolgreichen Registrierung und nur dann sind die Benutzernamen auch identisch. Das passiert aber wie gesagt, nicht in 3.8.6 und 4.0.6.

[Bianca]

Wenn die Registrierung mit &#00 am Ende klappt fehlen diese 4 Zeichen nach der erfolgreichen Registrierung und nur dann sind die Benutzernamen auch identisch. Das passiert aber wie gesagt, nicht in 3.8.6 und 4.0.6.

Na dann ist ja soweit alles schick

[pingelich]

Kann es in unserem Forum auch reproduzieren, hier wiederum nicht. Nutzen kein RegEx. Sollte man es verwenden? Gilt es nur für Neuregistrierungen?

Edit: der Nutzername wird doch mit &#00 gespeichert. Es existier also einmal usernamen und username&#00
Liegt es evtl auch am verwendeten Zeichensatz?

[MBR]

Kurze Frage: Ich hab als Admin einen Benutzernamen mit 3 Zeichen, erlaube Registrierungen aber nur mit 4. Reicht das nicht auch?

Edith meinte natürlich ab 4 Zeichen.

[Ramses]

Kurze Frage: Ich hab als Admin einen Benutzernamen mit 3 Zeichen, erlaube Registrierungen aber nur mit 4. Reicht das nicht auch?

Wenn sich jemand mit deinem Benutzernamen registriert und dann noch das &#00 anhängt sind es theoretisch 7 Zeichen.
Und wenn es nicht die zusätzlichen Zeichen mitzählt ist es ja dennoch möglich alle anderen registrierten Benutzer zu kopieren, das würde diese nicht erfreuen.