Prilikom upotrebe programskog paketa TWiki uočen je sigurnosni propust. Radi se o vrlo jednostavnom, moćnom i fleksibilnom alatu koji se upotrebljava za izradu web aplikacija. Sigurnosna ranjivost javlja se jer ulazni podaci koji su predani preko parametra "origurl" datoteci "bin/login/Sandbox/WebHome" nisu ispravno provjereni prije vraćanje korisniku. Napadači ranjivost mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda. Svim se korisnicima savjetuje nadogradnja na novu, ispravljenu inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-05-029
Naslov: Uocena ranjivost u radu programskog paketa TWiki
Datum: 2011-06-02
OS: Linux, Windows, Solaris, BSD, Mac OS
Programski paket: TWiki
Tip sigurnosnog problema: XSS napad, pokretanje HTML i skriptnog koda
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa TWiki uocena je sigurnosna ranjivost.

TWiki je vrlo fleksibilan, mocan i jednostavan alat koji sluzi za stvaranje web aplikacija. Najcesce se koristi za pokretanje projekta razvoja prostora, sustava za upravljanje dokumentima, baza znanja ili za neki drugi grupni rad.

Neke od njegovih glavnih mogucnosti su:

- uredjivanje postojece web stranice preko bilo kojeg web preglednika,
- pri uredjivanju stranice samo se klikne na "Uredi" na dnu stranice,
- web stranice su povezane automatski, znaci ne trebate znati HTML naredbe,
- oblikovanje teksta je vrlo jednostavno (tekst se pise kao onaj u e-mail-u),
- stranice su grupirane u TWiki zbirke sto omogucuje suradnju posebnih skupina,
- postavljanje i preuzimanje datoteka je isto kao i ono u e-mail-u,
- kontrola pristupa, 
- koristenje varijabla koje npr. omogucuju dinamicku izgradnju tablica,
- upotreba dodataka (eng. plugin) za kalendare, za grafikone, za bazu podataka, 
  za proracunske tablice s formulama i dr.

Vise informacija o navedenom programskom paketu dostupno je na sljedecoj web adresi:

http://twiki.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu programskog paketa TWiki napadacima omogucuje izvodjenje 
XSS (cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 5.0.2.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko parametra "origurl" datoteci "bin/login/Sandbox/WebHome" 
nisu ispravno provjereni u datoteci "lib/TWiki/LoginManager/TemplateLogin.pm" prije 
vracanje korisniku. To se moze iskoristiti za pokretanje proizvoljnog HTML ili 
skriptnog koda u korisnikovom pregledniku u kontekstu zlonamjerno oblikovane 
stranice.

Nedostatak je potvrdjen u inacicama prije inacice 5.0.2.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je Mesut Timur, Mavituna Security.

Tekstovi izvorne preporuke nalaze se na sljedecim web adresama:

TWiki:
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2011-1838

Mavituna Security (NS-11-005):
http://www.mavitunasecurity.com/XSS-vulnerability-in-Twiki/

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________