Prilikom upotrebe programskog paketa Joomla, odnosno njegove komponente JEEMA SMS, uočeni su višestruki sigurnosni propusti. Joomla je CMS (eng. Content Management System) sustav za upravljanje web sadržajem otvorenog programskog koda koji služi za objavljivanje sadržaja na Internetu. Propusti se javljaju kao posljedica neispravne provjere ulaznih podataka prije korištenja u SQL upitima. Napadači ranjivosti mogu iskoristiti za manipulaciju SQL upitima. Svim se korisnicima preporuča izmjena izvornog koda i izbjegavanje otvaranja nepouzdanih web stranica.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-11-060
Naslov: Otklonjena tri nedostatka u radu programskog paketa Joomla
Datum: 2011-11-14
OS: Windows, Linux/UNIX
Programski paket: Joomla
Tip sigurnosnog problema: upravljanje podacima, podmetanje SQL koda
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Joomla, tocnije u njegovoj komponenti JEEMA SMS, uocena 
su tri sigurnosna propusta. Radi se o CMS (eng. Content Management System) sustavu 
za upravljanje web sadrzajem otvorenog programskog koda. Napisan je u 
objektno-orijentiranom programskom jeziku PHP (eng. Hypertext Preprocessor), a za spremanje podataka koristi bazu podataka MySQL.

Neke od njegovih karakteristika su:
- upravljanje tekstom i slikama,
- prikaz sadrzaja u RSS-u, PDF-u te u verziji za printanje,
- upravljanje banerima i anketama,
- upravljanje trazilicom i kontakt formom, i dr.

JEEMA SMS je dodatak Joomle koji sluzi za slanje SMS poruka direktno s web stranice.

Vise informacija dostupno je na sljedecim web adresama:

Joomla!:
http://www.joomla.org/

JEEMA SMS:
http://extensions.joomla.org/extensions/communication/phone-a-sms

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Visestruki propusti uoceni u radu komponente JEEMA SMS zlonamjernim napadacima omogucuju pokretanje zlonamjernog SQL koda i manipulaciju pojedinim podacima.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca izmjena izvornog koda te izbjegavanje otvaranje sumnjivih stranica za vrijeme dok su prijavljeni na aplikaciji.  

-------------------------------------------------------------------------------

[4]  Analiza

* Ulazni podaci predani preko parametra "filter_subsearch" datoteci index.php nisu ispravno provjereni prije koristenja u SQL upitima. To se dogadja kada su postavljene sljedece postavke: "option" je postavljen na "com_jeemasms", "view" na "book", 
"group", "history", "sender", "keyword", "smstemplate", "csvsms", "invoice", "smsschedule" ili na "senderrequest". Napadaci u tom slucaju ranjivost mogu iskoristiti za manipulaciju SQL upitima.

* Ulazni podaci predani preko parametra "groupid" datoteci index.php (kada je "option" postavljen na "com_jeemasms" i "view", a kada je opcija "task" postavljena na 
"groupsubscribe") nisu ispravno provjereni prije koristenja u SQL upitima. Napadaci to 
mogu iskoristiti za manipulaciju SQL upitima i to na nacin da umetnu proizvoljni SQL kod.

* Posljednja uocena ranjivost omogucuje korisnicima izvrsavanje odredjene radnje putem HTTP zahtjeva bez obavljanja bilo kakve provjere valjanosti tih zahtjeva. Napadaci to mogu iskoristiti za npr. prijenos korisnickih podataka ukoliko su prijavljeni korisnici posjetili zlonamjernu web stranicu.

Ranjivosti su potvrdjene u inacici 3.2. Ostale inacice takodjer mogu biti ranjive. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrio je:
Chris Russell.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:
http://www.exploit-db.com/exploits/18047/

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________