Prilikom upotrebe programskog paketa Drupal, točnije njegovog modula CiviCRM, uočene su višestruke sigurnosne ranjivosti. Radi se o besplatnom programu koji omogućava lako objavljivanje, upravljanje i organizaciju raznih sadržaja na web stranicama. Propusti se javljaju kao posljedica neispravne provjere ulaznih podataka prije vraćanja korisniku. Zlonamjerni napadači propuste mogu iskoristiti za izvođenje XSS (eng. cross-site scripting) napada. Svim se korisnicima preporuča ispravak izvornog koda.
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2010-02-010
Naslov: Vise ranjivosti programskog paketa Drupal
Datum: 2011-02-17
OS: Windows, Linux, Mac OS, BSD, Solaris
Programski paket: Drupal
Tip sigurnosnog problema: XSS napad
Rizik: Velik
_______________________________________________________________________________
[1] Uvod
U radu programskog paketa Drupal, odnosno u njegovom modulu CiviCRM, uoceni su
visestruki sigurnosni propusti.
Drupal je besplatni programski paket koji omogucava lako objavljivanje, upravljanje
i organizaciju raznih sadrzaja na web stranici. CiviCRM je modul koji sluzi za organiziranje kontakata.
Neke od njegovih mogucnosti su:
- pohranjivanje podataka o osobama,
- snimanje odnosa izmedju kontakata,
- stvaranje statickih i dinamickih grupa, i dr.
Vise informacija o navedenom programskom paketu moze se pronaci na sljedecoj web adresi:
http://drupal.org/
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Visestruki sigurnosni propusti uoceni u radu programskog paketa Drupal, odnosno u njegovom modulu CiviCRM, napadacima omogucuju izvodjenje XSS (eng. cross-site scripting) napada.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca ispravak izvornog koda kako bi osigurali da se ulazni podaci ispravno obraðuju.
-------------------------------------------------------------------------------
[4] Analiza
Spomenute ranjivosti javljaju se kao posljedica neispravne provjere ulaznih podataka odredjenim datotekama prije vracanja korisniku. Radi se o podacima predanih preko parametra "defaultPath" datoteci sites/all/modules/civicrm/packages/OpenFlashChart/php-ofc-library/ofc_upload_image.php, preko parametra "class" datoteci sites/all/modules/civicrm/packages/amfphp/browser/details.php, preko parametra "lang" datotekama sites/all/modules/civicrm/packages/PHPgettext/examples/pigs_dropin.php
i sites/all/modules/civicrm/packages/PHPgettext/examples/pigs_fallback.php. Napadaci
ranjivosti mogu iskoristiti za pokretanje proizvoljnog programskog ili skriptnog koda u
korisnikovom pregledniku u kontekstu zlonamjerno oblikovane stranice.
Ranjivosti su potvrdjene u inacici 3.3.3. Ostale inacice takodjer mogu sadrzavati
navedenu ranjivost.
-------------------------------------------------------------------------------
[5] Credit
Informacije o navedenim ranjivostima otkrio je:
AutoSec Tools.
Tekst izvorne preporuke nalazi se na sljedecoj web adresi:
AutoSec Tools:
http://www.autosectools.com/Advisories/CiviCRM.3.3.3.Drupal-Joomla_Reflected.Cross-site.Scripting_102.html
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke