Es wurde ein Problem in vBulletin bis Version 3.8.5 bekannt, das dazu ausgenutzt werden kann, dass man sich mit einem bereits existierenden Benutzernamen registriert, so dass es zwei Benutzer mit demselben Benutzernamen gibt.
Thema bei vBulletin.com
Thema bei vBulletin-Germany.com

  • Mit dieser Datenbankabfrage können Sie überprüfen, ob es bereits Benutzerkonten mit identischen Benutzernamen gibt:

    SELECT COUNT(username) AS Anzahl,username,userid,email
    FROM user
    GROUP BY username
    HAVING COUNT(username) > 1
    ORDER BY Anzahl DESC;

    Falls ein Tabellen-Präfix für die vBulletin-Tabellen verwendet wird, muss der Tabellenname entsprechend angepasst werden (z.B. vb_user statt user).

    Ein Ergebnis wird nur angezeigt, wenn es tatsächlich doppelte Benutzernamen geben sollte.

  • Das Problem tritt auf, wenn sich ein neuer Benutzer mit einem existierenden Benutzernamen und einer Zeichenkombination aus "&" und "#" registriert.

  • Die mögliche Auswirkung ist, dass der neue Benutzer Private Nachrichten empfangen kann, die für den existierenden Benutzer gedacht waren.

  • Test haben ergeben, dass der neue Benutzer nicht an das Kennwort des vorher existierenden Benutzers kommen kann. Auch hat der neue Benutzer lediglich die Rechte eines normalen Benutzers und erhält keine erweiterten Berechtigungen, die der existierende Benutzer eventuell haben kann. Das Problem ist daher nicht unbedingt sicherheitsrelevant.

  • Betroffen sind alle Versionen bis einschließlich 3.8.5. Das Problem wurde bereits vor einiger Zeit gemeldet, zum damaligen Zeitpunkt aber nicht vom Entwicklungsteam in Angriff genommen, da es als nicht sicherheitsrelevant eingestuft wurde.

  • Das Problem wurde ungewollt durch diesen Bugfix behoben. Das wird zwar nicht die endgültige Lösung für dieses Problem sein, wenn jedoch vBulletin 3.8.6 oder neuer eingesetzt wird, ist man nicht von diesem Problem betroffen.

  • Wir werden einen Patch für vBulletin 3.7.7 und 3.8.6 zur Verfügung stellen, der verhindern wird, dass man sich mit bestimmten Unicode-Zeichen registrieren und existierende Benutzer imitieren kann.

  • Es gibt zwei Möglichkeiten, sich vor diesem Problem auch jetzt schon zu schützen:
    1. vBulletin Einstellungen -> Benutzer: Registrierung -> Benutzername mit Regulären Ausdrücken überprüfen

      Tragen Sie in dieser Einstellung diesen regulären Ausdruck ein:
      ^[a-zA-Z0-9_.-öäüÖÄÜß\s]+$

      Somit sind bei der Registrierung nur noch Benutzernamen erlaubt, die die innerhalb der eckigen Klammern stehenden Zeichen enthalten. \s steht für ein Leerzeichen. Für andere Sprachen bzw. weitere Zeichen, muss der Ausdruck entsprechend ergänzt/geändert werden.
      Die endgültige Lösung wird diese Zeichenbeschränkung nicht haben.

    2. vBulletin Einstellungen -> Benutzer: Registrierung -> Verbotene Benutzernamen

      Tragen Sie in dieser Einstellung &# ein.