Harald Brombach (digi.no) Skrevet 25. september 2019 Skrevet 25. september 2019 Ingen offisiell sikkerhetsfiks er tilgjengelig.Nulldagssårbarhet i mye brukt forumløsning er svært enkel å angripe
V9XR62B0 Skrevet 26. september 2019 Skrevet 26. september 2019 Remote Code Execution, ikke Evaluation :-)
Harald Brombach (digi.no) Skrevet 26. september 2019 Forfatter Skrevet 26. september 2019 Remote Code Execution, ikke Evaluation :-) Jeg kan selvfølgelig ha misforstått, men slik jeg ser det kan RCE i dette tilfellet bety i tre ulike ting: 1) Remote Code Evaluation: fordi det ser ut til at sårbarheten er knyttet til bruken av eval() (det er det som fjernes i den uoffisielle patchen). Remote Code Evaluation er omtalt her: https://www.netsparker.com/blog/web-security/remote-code-evaluation-execution/ Dermed er dette er en mer nøyaktig beskrivelse av det som er tilfellet her, enn det 2) Remote Code Execution er. I konteksten til PHP er det likevel en form for Remote Code Execution. 3) Remote Command Execution: det er vilkårlige kommandoer, ikke vilkårlig kode, som kan kjøres i konteksten til operativsystemet. Jeg er uansett ingen ekspert på disse begrepene, så opplys meg gjerne dersom jeg tar helt feil. :-) Jeg ser ellers at de fleste andre bruker Remote Code Execution i omtalen av sårbarheten, så jeg har valgt å endre til det i saken. For øvrig har det kommet offisielle patcher nå: https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4422707-vbulletin-security-patch-released-versions-5-5-2-5-5-3-and-5-5-4
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå