Verständnisfrage bzgl. E-Mail
- Ersteller schmflo
- Erstellt am
niz
ᴬ7ᵪ
- Registriert
- Nov. 2001
- Beiträge
- 24.292
Wenn ich sowas hier lese, wundert mich nichts:
https://www.computerbase.de/forum/threads/e-mail-programm-gesucht.145051/
Lass dir mal den Header der Mail anzeigen >> Erweitert
https://www.computerbase.de/forum/threads/e-mail-programm-gesucht.145051/
Lass dir mal den Header der Mail anzeigen >> Erweitert
Nachdem nun vBulletin 3.5 RC2 draußen ist kann ich die Sache aufklären.
In vBulletin 3.5 RC1 (die Beta-Versionen waren auch betroffen, vBulletin 3.0 hingegen nicht) konnte man als Gast (als angemeldeter Benutzer ging es nicht) einem beliebigen Boardy eine E-Mail schicken, die als Absender die Kontaktadresse des Foren-Admins trug.
Die in diesem Thread zitierte E-Mail wurde über unseren Server versendet, es handelte sich nicht um Spam von irgendeinem anderen Server. Dabei war sich der die Nachricht verfassende Besucher wohl nicht darüber im Klaren, dass eigentlich nur angemeldete Benutzer anderen Boardies E-Mails schreiben dürften und er eine Sicherheitslücke ausnutzt.
Wir haben seit dem Einsatz von vBulletin 3.5 mehrere Antworten verdutzter Boardies auf solche vermeintlich von uns stammenden E-Mails erhalten. In diesen ging es fast immer um den Inhalt irgendeines Threads in unserem Forum.
Diese Sicherheitslücke haben wir am Freitag (29. Juli) an Jelsoft (Entwickler von vBulletin) gemeldet. Dass nicht sofort ein Bugfix veröffentlicht wurde, wurde auf Nachfrage am Dienstag damit begründet, dass RC2 kurz vor der Tür stehe. IMO unverständlicherweise wurde jedoch auch in der Ankündigung von vB 3.5 RC2 diese Sicherheitslücke komplett verschwiegen. Und das, obwohl sich diese ja immerhin eingeschränkt zum Spamversand eignet oder aber man zumindest den Admins "nette" Streiche spielen könnte, schließlich steht deren Kontaktadresse ja als Absender in der E-Mail.
Wie es genau funktioniert hat werde ich nicht sagen. Auf der anderen Seite denke ich wäre es jedoch auch falsch gewesen, diesen Fall nicht aufzuklären und die Sicherheitslücke zu verschweigen. Es hätte seitens Jelsoft ja gereicht zu sagen, dass es eine Sicherheitslücke in vB 3.5 RC1 gab und man möglichst schnell sein Forum aktualisieren soll, mehr Details wären ja vorläufig gar nicht notwendig gewesen.
In vBulletin 3.5 RC1 (die Beta-Versionen waren auch betroffen, vBulletin 3.0 hingegen nicht) konnte man als Gast (als angemeldeter Benutzer ging es nicht) einem beliebigen Boardy eine E-Mail schicken, die als Absender die Kontaktadresse des Foren-Admins trug.
Die in diesem Thread zitierte E-Mail wurde über unseren Server versendet, es handelte sich nicht um Spam von irgendeinem anderen Server. Dabei war sich der die Nachricht verfassende Besucher wohl nicht darüber im Klaren, dass eigentlich nur angemeldete Benutzer anderen Boardies E-Mails schreiben dürften und er eine Sicherheitslücke ausnutzt.
Wir haben seit dem Einsatz von vBulletin 3.5 mehrere Antworten verdutzter Boardies auf solche vermeintlich von uns stammenden E-Mails erhalten. In diesen ging es fast immer um den Inhalt irgendeines Threads in unserem Forum.
Diese Sicherheitslücke haben wir am Freitag (29. Juli) an Jelsoft (Entwickler von vBulletin) gemeldet. Dass nicht sofort ein Bugfix veröffentlicht wurde, wurde auf Nachfrage am Dienstag damit begründet, dass RC2 kurz vor der Tür stehe. IMO unverständlicherweise wurde jedoch auch in der Ankündigung von vB 3.5 RC2 diese Sicherheitslücke komplett verschwiegen. Und das, obwohl sich diese ja immerhin eingeschränkt zum Spamversand eignet oder aber man zumindest den Admins "nette" Streiche spielen könnte, schließlich steht deren Kontaktadresse ja als Absender in der E-Mail.
Wie es genau funktioniert hat werde ich nicht sagen. Auf der anderen Seite denke ich wäre es jedoch auch falsch gewesen, diesen Fall nicht aufzuklären und die Sicherheitslücke zu verschweigen. Es hätte seitens Jelsoft ja gereicht zu sagen, dass es eine Sicherheitslücke in vB 3.5 RC1 gab und man möglichst schnell sein Forum aktualisieren soll, mehr Details wären ja vorläufig gar nicht notwendig gewesen.
Zuletzt bearbeitet:
Ähnliche Themen
