Abo
  • Services:

Nach vBulletin-Hack: Opensuse künftig mit freier Foren-Software

Nach einem Hack der vBulletin-Software haben die Opensuse-Admins das Forum vorübergehend abgeschaltet. Nun ist es wieder online, doch die proprietäre Software soll gegen eine freie Alternative ersetzt werden.

Artikel veröffentlicht am ,
Die Opensuse-Foren sind wieder online.
Die Opensuse-Foren sind wieder online. (Bild: Opensuse)

Auf lange Sicht sei es nicht ideal, "um die Sicherheitsprobleme proprietärer Software herum zu arbeiten", lautet die Erkenntnis der Opensuse-Administratoren, nachdem ein Hacker eine Zero-Day-Lücke in der vBulletin-Instanz von Opensuse ausnutzte. Das Team sah sich gezwungen, die Foren komplett vom Netz zu nehmen, die nun eine Woche später wieder zur Verfügung stehen. Bis eine Entscheidung für eine andere Software getroffen ist, wird aber weiterhin vBulletin eingesetzt.

Keine Passwörter abhanden gekommen

Stellenmarkt
  1. AKKA GmbH & Co. KGaA, München
  2. Dataport, Altenholz bei Kiel, Hamburg

Vergangene Woche hatte ein nach eigenen Angaben aus Pakistan stammender Hacker über eine bisher unbekannte Lücke ein PHP-Skript in die Foren-Software einschleusen können. Damit konnten auch ohne Root-Rechte Dateien gelesen, verändert und überschrieben werden.

So erlangte der Hacker Zugriff auf die Datenbank des Forums und somit auch auf die E-Mail-Adressen der knapp 80.000 Nutzer. Passwörter habe der Angreifer nicht mitnehmen können, da das Forum das Single-Sign-On-System des Access Managers von NetIQ nutzt.

Wieder online mit besserem Schutz

Die eingesetzte Software sei zwar nie perfekt gewesen, doch haben die bisher aufgetretenen Probleme die Administratoren nie dazu bewogen, die zeitintensive Arbeit für eine neue Lösung anzugehen. Doch bereits im vergangenen Sommer sei das Forum vom selben Hacker angegriffen worden.

Um das Forum aber so schnell wie möglich wieder zugänglich zu machen, entschloss sich das Team, einige über die Foren-Software hinausgehende Sicherheitsvorkehrungen zu treffen. So sei das Dateisystem nun verriegelt, für die Ordner gelten nur Leserechte und die Dateien haben nun paranoide Berechtigungen. Darüber hinaus sollen die Foren-Dienste künftig per AppArmor oder SELinux gesichert werden.

Suche nach freier Alternative

Statt dem proprietären vBulletin wollen die Administratoren künftig eine Lösung auf Basis freier Software einsetzen. Möglich scheint derzeit ein Wechsel zu BBPress oder PHPBB, dazu sucht das Team aber noch erfahrene Verstärkung, die bei einer Migration von vBulletin helfen könnten.

Zudem muss das NNTP-Gateway-Skript portiert werden, was einen PHP-Entwickler erfordert. Ebenso wird zur Zeit eine Liste mit notwendigen und wünschenswerten Anforderungen an die neue Software erstellt.

Zu den Kommentaren springen
Meistgelesen
  1. Norsepower
    Stahlsegel helfen der Umwelt und sparen Treibstoff
  2. Core i9-9900K im Test
    Acht verlötete 5-GHz-Kerne sind extrem
  3. DSGVO
    Oberste Datenschützerin beendet Posse um Klingelschilder
  4. Meyer Optik Görlitz insolvent
    Kickstarter-Unterstützer erhalten weder Objektive noch Geld
  5. Weniger Reichweite
    Tesla verkauft günstigeres Model 3
Anzeige
Hardware-Angebote
  2. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  4. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
Kommentarübersicht
Re: Warum wird immer OSS als Allheilmittel angesehen?
teleborian 23. Jan 2014

Bei PHP bestehen in der Regel alle PHP Scripte aus lesbarem Text.

Re: VBulltin mit PHPBB ersetzen
TW1920 21. Jan 2014

phpBB ist eher ein Fahrgestell mit Motor und nem proviorischen aufbau. es ist schlicht...

Re: JForum mit PostgreSQL als Datenbank
TW1920 21. Jan 2014

+1

Re: Ich finde ja, das phpBB ziemlich grottig ist
TW1920 21. Jan 2014

Na und? es ist vom aufbau (also quelltext) gut. aber wer wirklich was aufbauen will...

Folgen Sie uns
       
Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
5G
Gigabit: 5G-Planungen gehen völlig an den Nutzern vorbei
Gigabit
5G-Planungen gehen völlig an den Nutzern vorbei

Fast täglich hören wir Erklärungen aus der Telekommunikationsbranche, was 5G erfüllen müsse und warum sonst das Ende der Welt drohe. Wir haben die Konzerngruppen nach Interessenlage kartografiert.
Ein IMHO von Achim Sawall

  1. Fixed Wireless Access Nokia bringt mehrere 100 MBit/s mit LTE ins Festnetz
  2. Funklöcher Telekom bietet freiwillig hohe 5G-Netzabdeckung an
  3. 5G Telekom hat ihr Mobilfunknetz mit Glasfaser versorgt
Adventure
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert
Echo Dot
Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /