U radu programskog paketa Drupal, odnosno u njegovom modulu Vote Up/Down, uočen je sigurnosni propust. Radi se o besplatnom programu koji omogućava objavljivanje, upravljanje i organizaciju raznih sadržaja na web stranicama. Propust je posljedica neispravne provjere ulaznih podataka prije vraćanja korisniku. Riječ je o podacima koji se predaju modulu "vud_term sub-module". Napadači ranjivost mogu iskoristiti za izvođenje XSS napada. Svim se korisnicima preporuča nadogradnja na novu inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-01-004
Naslov: Uocen propust programskog paketa Drupal
Datum: 2012-01-19
OS: Windows, UNIX/Linux
Programski paket: Drupal
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Drupal, odnosno u njegovom modulu Vote Up/Down, 
uocen je sigurnosni nedostatak.

Radi se o besplatnom programskom paketu koji omogucava lako objavljivanje, upravljanje 
i organizaciju raznih sadrzaja na web stranicama. Njegov dodatak Vote Up/Down korisnicima 
omogucuje dodavanje glasova na svojim web stranicama.

Vise informacija o navedenom paketu dostupno je na sljedecim web adresama:

Drupal:
http://drupal.org/

Drupal Vote Up/Down: 
http://drupal.org/project/vote_up_down

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu paketa Drupal, odnosno u njegovom dodatku Vote Up/Down, 
napadacima omogucuje umetanje proizvoljnih skripti.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima savjetuje nadogradnja na ispravljenu inacicu.

-------------------------------------------------------------------------------

[4]  Analiza

Ranjivost je posljedica neispravne provjere ulaznih podataka predanih modulu "vud_term sub-module" i to prije vracanja korisniku. To se moze 
iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku 
u kontekstu posebno oblikovane web stranice kada korisnik pregledava zlonamjerno oblikovane podatke.

Uspjesna zloupotreba podrazumijeva dozvole za izradu ili uredjivanje taksonomijskih izraza.

Ranjivosti su potvrdjene u inacicama prije inacica 6.x-2.8 i inacicama prije 6.x-3.1. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

Justin C. Klein Keane.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

SA-CONTRIB-2012-005:
http://drupal.org/node/1401580

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________