U radu programskog paketa Joomla, točnije u njegovoj komponenti Barter, uočeni su visestruki sigurnosni propusti. Radi se o CMS (eng. Content Management System) sustavu za upravljanje web sadržajem otvorenog programskog koda. Propusti su posljedica neispravne provjere ulaznih podataka predanih preko više različitih parametara datoteci index.php. Napadači spomenute propuste mogu iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda, te za upravljanje SQL upitima. Svim se korisicima savjetuje rješavanje problema pomoću posrednog poslužitelja (eng. proxy).

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-10-056
Naslov: Visestruki propusti programskog paketa Joomla
Datum: 2011-10-14
OS: Windows, Linux/UNIX
Programski paket: Joomla
Tip sigurnosnog problema: XSS napad, SQL napad
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Joomla, odnosno njegove komponente Barter, 
uoceni su visestruki sigurnosni propusti. 

Joomla je CMS (eng. Content Management System) sustavu koji sluzi za upravljanje
web sadrzajem. Otvorenog je programskog koda, a sluzi za objavljivanje sadrzaja na Internetu. Navedeni paket napisan je u objektno-orijentiranom programskom jeziku PHP (eng. Hypertext Preprocessor), a za spremanje podataka koristi bazu podataka MySQL. Koristi se za upravljanje razlicitim vrstama sadrzaja, kao sto su slike, tekst, audio i video datoteke, dokumenti, upravljanje banerima, anketama, trazilicom i dr.

Njegov dodatak Barter sluzi za postavljanje oglasa, slanje ponuda i poruka, za pregovaranje te izdavanje kreditnih linija.

Vise informacija o navedenim propustima dostupno je na sljedecim web adresama:

Joomla!:
http://www.joomla.org/

Barter:
http://extensions.joomla.org/extensions/ads-a-affiliates/classified-ads/18535

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Visetruki propusti uoceni u radu programskog paketa Joomla, odnoso u njegovoj 
komponenti Barter, napadacima omogucuju izvodjenje XSS (eng. cross-site scripting) te pokretanje SQL napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca filtriranje zlonamjernih nizova pomocu posrednog 
posluzitelja (eng. proxy).

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko POST parametara "listing", "homeurl", and "paystring" 
datoteci index.php nisu ispravno provjereni prije koristenja. To se dogadja kada je opcija "option" postavljena na "com_listing", a opcija "task" na "listingsave". Napadaci ranjivost mogu iskoristi za umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane stranice kada su zlonamjerni podaci vidljivi.

Ulazni podaci predani putem parametra "desired_quantity" datoteci index.php (kada je opcija "option" postavljena na "com_listing", opcija "task" na "offersave" i kada opcija "item_id" ima krivi id) nisu ispravno provjereni prije vracanja korisniku. To moze biti iskoristeno za umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice. 

Ulazni podaci predani preko parametra "category_id" datoteci index.php (kada je opcija 
"option" postavljena na "com_listing",a  aopcija "task" na "browse") nisu ispravno 
provjereni prije koristenja u SQL upitima. Napadaci to mogu iskoristiti za manipulaciju 
SQL upitima na nacin da umetnu proizvoljni SQL kod.

Ranjivosti su potvrdjene u inacici 1.3, no postoji mogucnost da su i ostale inacice 
ranjive.

-------------------------------------------------------------------------------

[5]  Credit

Inforamcije o propustu otkrio je:

Sid3^effects.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________