Nach vBulletin-Hack: Opensuse künftig mit freier Foren-Software

Auf lange Sicht sei es nicht ideal, "um die Sicherheitsprobleme proprietärer Software herum zu arbeiten", lautet die Erkenntnis der Opensuse-Administratoren, nachdem ein Hacker eine Zero-Day-Lücke in der vBulletin-Instanz von Opensuse ausnutzte. Das Team sah sich gezwungen, die Foren komplett vom Netz zu nehmen, die nun eine Woche später wieder zur Verfügung stehen. Bis eine Entscheidung für eine andere Software getroffen ist, wird aber weiterhin vBulletin eingesetzt.

Keine Passwörter abhanden gekommen

Stellenmarkt

1. Mathematiker / Business Intelligence Specialist (m/w/d)
   Standard Life, Frankfurt am Main
2. Teamleiter Onsite Support (w/m/d)
   Bechtle Onsite Services GmbH, Neckarsulm

Detailsuche

Vergangene Woche hatte ein nach eigenen Angaben aus Pakistan stammender Hacker über eine bisher unbekannte Lücke ein PHP-Skript in die Foren-Software einschleusen können. Damit konnten auch ohne Root-Rechte Dateien gelesen, verändert und überschrieben werden.

So erlangte der Hacker Zugriff auf die Datenbank des Forums und somit auch auf die E-Mail-Adressen der knapp 80.000 Nutzer. Passwörter habe der Angreifer nicht mitnehmen können, da das Forum das Single-Sign-On-System des Access Managers von NetIQ nutzt.

Wieder online mit besserem Schutz

Die eingesetzte Software sei zwar nie perfekt gewesen, doch haben die bisher aufgetretenen Probleme die Administratoren nie dazu bewogen, die zeitintensive Arbeit für eine neue Lösung anzugehen. Doch bereits im vergangenen Sommer sei das Forum vom selben Hacker angegriffen worden.

Golem Karrierewelt

1. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
   20.09.2022, Virtuell
2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
   14./15.07.2022, Virtuell

Weitere IT-Trainings

Um das Forum aber so schnell wie möglich wieder zugänglich zu machen, entschloss sich das Team, einige über die Foren-Software hinausgehende Sicherheitsvorkehrungen zu treffen. So sei das Dateisystem nun verriegelt, für die Ordner gelten nur Leserechte und die Dateien haben nun paranoide Berechtigungen. Darüber hinaus sollen die Foren-Dienste künftig per AppArmor oder SELinux gesichert werden.

Suche nach freier Alternative

Statt dem proprietären vBulletin wollen die Administratoren künftig eine Lösung auf Basis freier Software einsetzen. Möglich scheint derzeit ein Wechsel zu BBPress oder PHPBB, dazu sucht das Team aber noch erfahrene Verstärkung, die bei einer Migration von vBulletin helfen könnten.

Zudem muss das NNTP-Gateway-Skript portiert werden, was einen PHP-Entwickler erfordert. Ebenso wird zur Zeit eine Liste mit notwendigen und wünschenswerten Anforderungen an die neue Software erstellt.