PDA

查看完整版本 : 关于vB论坛数据库被下载的安全隐患,请大家注意更新


Tony
2005-04-30, 01:54 AM
http://www.vbzh.org/showthread.php?t=162

注:正版用户不存在这种问题,可以不用理会。

据来自vbb中国官方的消息,本着对用户负责的态度,特别提醒盗版使用者;同时希望大家购买vBulletin的License,使用正版。

昨晚,vbb中国公司收到一位客户的反映,称其发现使用vbb论坛盗版的站点存在严重的安全隐患,极有可能造成论坛数据库被破坏的严重后果,并且列举出一些已经被破坏的站点。经我们技术人员彻夜紧锣密鼓的检查测试,发现正是因为盗版的论坛程序的代码经过修 改,不需要填入license号,可能因此造成技术上的漏洞严重影响论坛的安全。经技术人员的努力,该漏洞已经得到了有效的解决。vbb中国表示,感谢这位用户的提醒,可以让更多的vbb论坛使用者提高安全和使用正版的意识。

作为论坛程序中功能最强,使用者最多,市场占有最大的vBulletin,其安全性、稳定性以及健壮坚实的运行表现,一贯遥遥领先于其他论坛程序;vBulletin程序代码经过多年不断的沉淀和完善,精密、简洁、高效,具有非常的严密性;同时作为开源精 神的努力实践者,程序代码一直为用户所见,并且倡导大家一起为提高程序的性能和功能而努力;不过正是因为这种宽放大气以及自信的文化心态,使对代码的修改非常容易,造成市场上vbb的盗版也较其他加密过的论坛为多;而盗版的程序因为对代码进行了毫无安全保 证的修改,由此产生了风险。

vbb中国感谢用户们的对vBulletin的支持和厚爱,本着对都是vbb论坛的使用者和爱好者的人文关怀,从人道主义道德立场出发,同时也表现出vbb中国的负责态度,特别提醒盗版的vbb使用者。也请盗版的用户购买正版的vbb,支持vbb在中国的 发展,让更多的论坛使用者,更多的论坛爱好者都能使用世界上最好的论坛程序。
我来公布一下这个问题吧,问题出在install目录,很多用户安装了论坛程序并没有删除install目录,有些人仅仅删除了install.php,而没有删除upgrade.php和upgradecore.php,正版用户需要输入序列号才能进入安装和升级,而很多null版本去除了输入环节,可以直接进入升级程序,升级程序中含有获取数据库的选项,这样别人就能通过upgrade.php或upgradecore.php欺骗获得网站的数据库的内容,和什么正版盗版关系不大,可以这么说,只要用户按照正常流程删除了install目录,或者删除了upgrade.php和upgradecore.php,都不会出现这个隐患。另外,个人认为此安全隐患本身就来自vB官方,因为,验证用的customid有时是能被获取的。
请大家立即注意这个问题。
解决办法:删除install目录,或者删除upgrade.php和upgradecore.php讨厌chinese那边神神秘秘的说法。