U radu programskog paketa Limny uočen je sigurnosni propust. Radi se o sustavu za upravljanje sadržajem (eng. Content Management System, CMS). Spomenuta ranjivost posljedica je neispravne provjere ulaznih podataka predani putem URL-a datoteci admin/login.php prije vraćanja korisniku. Napadači tu nepravilnost mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda. Svim se korisnicima savjetuje izmjena izvornog koda.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-01-002
Naslov: Uocena ranjivost programskog paketa Limny
Datum: 2012-01-12
OS: Windows, Linux, Mac OS, BSD, Solaris
Programski paket: Limny
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Limny uocen je sigurnosni nedostatak.

Limny je sustav za upravljanje sadrzajem web stranica (eng. Content Management System).

Bitnije od njegovih karrakteristika su:

- otvorenog je programskog koda, 
- razvijen je s naglaskom na brzinu izvodjenja,
- omogucuje jednostavnu izmjenu,
- jednostavan je za razvoj,
- korisnicima omogucuje razvijanje i stvaranje modula i dr.

Vise informacija o navedenom paketu moguce je pronaci na sljedecoj web adresi:

http://www.limny.org/.

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Spomenuta ranjivost, uocena u radu paketa Limny, napadacima omogucuje izvodjenje 
XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca izmjena izvornog koda kako bi se ulazni podaci ispravno provjeravali.

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani putem URL-a datoteci admin/login.php nisu ispravno provjereni 
prije vracanja korisniku. To se moze iskoristiti za pokretanje proizvoljnog HTML ili 
skriptnog koda u korisnikovom pregledniku, u kontekstu posebno oblikovane web stranice.

Ranjivost je potvrdjena u inacici 3.0.1. Ostale inacice takodjer mogu sadrzavati istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

Gjoko Krstic, Zero Science Lab.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

ZSL-2012-5066:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2012-5066.php

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________