Uočen je propust u radu programskog paketa Drupal, odnosno u njegovom modulu Facebook Share. Drupal je CMS (eng. Content Management System) sustav koji se koristi za upravljanje i stvaranje web sadržaja. Spomenuta ranjivost javlja se kao posljedica neispravne provjere ulaznih podataka predanih preko POST parametra "facebookshare_text" datoteci "index.php". Nedostatak zlonamjernim napadačima omogućuje umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu zlonamjerno oblikovane stranice. Svim se korisnicima preporuča odgovarajuća nadogradnja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-07-036
Naslov: Uocena ranjivost programskog paketa Drupal
Datum: 2011-07-14
OS: Windows, UNIX/Linux, Mac OS, BSD, Solaris
Programski paket: Drupal
Tip sigurnosnog problema: umetanje proizvoljnog HTML i skriptnog koda
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Drupal, odnosno njegovog modula Facebook Share, otkrivena je sigurnosna ranjivost.

Drupal je besplatni programski paket koji omogucava lako objavljivanje, upravljanje 
i organizaciju raznih sadrzaja na web stranici. Facebook Share je modul koji administratorima omogucuje dodavanje gumba za odabiranje sadrzaja na njihovim web stranicama.

Neke od njegovih mogucnosti su:
- pohranjivanje podataka o osobama,
- snimanje odnosa izmedju kontakata,
- stvaranje statickih i dinamickih grupa i dr.

Vise informacija o navedenom programskom paketu moze se pronaci na sljedecoj web adresi:

http://drupal.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Sigurnosni propust uocen u radu programskog paketa Drupal, odnosno u njegovom modulu Facebook Share, zlonamjernim napadacima omogucuje provodjenje XSS napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko POST parametra "facebookshare_text" datoteci "index.php" 
nisu ispravno provjereni prije vracanje korisniku. Ranjivost se javlja kada je opcija "q" postavljena na "admin/config/user-interface/facebookshare". Napadaci ranjivost mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu zlonamjerno oblikovane stranice kada se pregledavaju posebno oblikovani podaci.

Uspješna zloupotreba podrazumijeva da napadac ima "administer facebookshare" ovlasti.

Ranjivost je potvrdjena u inacicama 6.x-1.1 and 7.x-1.2. Ranije inacice takodjer mogu sadrzavati istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je Ber Kessels.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

SA-CONTRIB-2011-027:
http://drupal.org/node/1210754

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________