Više ranjivosti programskog paketa Drupal

Prilikom upotrebe programskog paketa Drupal, točnije njegovog modula CiviCRM, uočene su višestruke sigurnosne ranjivosti. Radi se o besplatnom programu koji omogućava lako objavljivanje, upravljanje i organizaciju raznih sadržaja na web stranicama. Propusti se javljaju kao posljedica neispravne provjere ulaznih podataka prije vraćanja korisniku. Zlonamjerni napadači propuste mogu iskoristiti za izvođenje XSS (eng. cross-site scripting) napada. Svim se korisnicima preporuča ispravak izvornog koda.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2010-02-010
Naslov: Vise ranjivosti programskog paketa Drupal
Datum: 2011-02-17
OS: Windows, Linux, Mac OS, BSD, Solaris 
Programski paket: Drupal
Tip sigurnosnog problema: XSS napad
Rizik: Velik
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Drupal, odnosno u njegovom modulu CiviCRM, uoceni su
visestruki sigurnosni propusti.

Drupal je besplatni programski paket koji omogucava lako objavljivanje, upravljanje 
i organizaciju raznih sadrzaja na web stranici. CiviCRM je modul koji sluzi za organiziranje kontakata.

Neke od njegovih mogucnosti su:
- pohranjivanje podataka o osobama,
- snimanje odnosa izmedju kontakata,
- stvaranje statickih i dinamickih grupa, i dr.

Vise informacija o navedenom programskom paketu moze se pronaci na sljedecoj web adresi:

http://drupal.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Visestruki sigurnosni propusti uoceni u radu programskog paketa Drupal, odnosno u njegovom modulu CiviCRM, napadacima omogucuju izvodjenje XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca ispravak izvornog koda kako bi osigurali da se ulazni podaci ispravno obraðuju.  

-------------------------------------------------------------------------------

[4]  Analiza

Spomenute ranjivosti javljaju se kao posljedica neispravne provjere ulaznih podataka odredjenim datotekama prije vracanja korisniku. Radi se o podacima predanih preko parametra "defaultPath" datoteci sites/all/modules/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php, preko parametra "class" datoteci sites/all/modules/civicrm/packages/amfphp/browser/details.php, preko parametra "lang" datotekama sites/all/modules/civicrm/packages/PHPgettext/examples/pigs_dropin.php 
i sites/all/modules/civicrm/packages/PHPgettext/examples/pigs_fallback.php. Napadaci 
ranjivosti mogu iskoristiti za pokretanje proizvoljnog programskog ili skriptnog koda u 
korisnikovom pregledniku u kontekstu zlonamjerno oblikovane stranice.

Ranjivosti su potvrdjene u inacici 3.3.3. Ostale inacice takodjer mogu sadrzavati 
navedenu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o navedenim ranjivostima otkrio je:
AutoSec Tools.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:
AutoSec Tools:
http://www.autosectools.com/Advisories/CiviCRM.3.3.3.Drupal-Joomla_Reflected.Cross-site.Scripting_102.html

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

Više ranjivosti programskog paketa Drupal

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti