Prilikom upotrebe programskog paketa LDAP Account Manager Pro uočeno je više sigurnosnih nedostataka. Riječ je o alatu koji se koristi za upravljanje korisničkim računima pohranjenima u LDAP direktoriju. Uočene ranjivosti posljedica su neispravne provjere ulaznih podataka predanih putem više parametara datotekama: lam/templates/lists/list.php, lam/templates/3rdParty/pla/htdocs/cmd.php i lam/templates/3rdParty/pla/htdocs/cmd.php. Napadači te ranjivosti mogu iskoristiti za izvođenje XSS napada. Do izdavanja zakrpe korisnici se upućuju na primjenu zaobilaznih rješenja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-03-016
Naslov: Otklonjeno vise propusta kod paketa LDAP Account Manager Pro
Datum: 2012-03-07
OS: Linux, BSD 
Programski paket: LDAP Account Manager Pro
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa LDAP Account Manager Pro uoceni su visestruki sigurnosni propusti. 

Radi se o alatu koji se koristi za upravljanje korisnickim racunima pohranjenima u LDAP direktoriju. Na taj nacin korisnicima je omogucena promjena svojim vlastitih podataka te promjena svoje 
lozinke.

Bitnije od njegovih karakteristika su:

- ponistavanje stare i dodavanje nove lozinke,
- dodavanje grupa korisnika,
- koristenje aliasa,
- upravljanje Unix korisnickim racunima,
- upravljanje Samba 2.x/3 korisnicima i korisnickim racunima
- postojanje razlicitih profila za izradu korisnickih racuna,
- ima mogucnost dodavanja (eng. upload) datoteka i tako stvaranje korisnickih racuna,
- automatsko stvaranje i brisanje home direktorija,
- postavljanje kvota,
- podrsku za vise jezika (engleski, njemacki, japanski, talijanski, francuski, poljski, 
  ceski, nizozemski i dr.),
- ima podrsku za LDAP+SSL/TLS i dr.

Za pregled vise detalja o navedenom paketu preporuca se pregled sljedece web adrese:

http://www.ldap-account-manager.org/lamcms/lamPro

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu spomenutog paketa zlonamjernim korisnicima omogucuju izvodjenje 
XSS (eng. cross-site scripting) napada. 

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca filtriranje zlonamjernih podataka pomocu posrednog posluzitelja (eng. proxy).  

-------------------------------------------------------------------------------

[4]  Analiza

* Prva od spomenutih ranjivosti posljedica je neispravne provjere ulaznih podataka pri 
filtriranju prije vracanja korisniku. Radi se o podacima predanim preko POST parametra 
"filteruid" datoteci lam/templates/lists/list.php (kada je opcija "type" postavljena). To se moze iskoristiti za umetanje proizvoljnog HTML i skriptnog koda u korisnikovom 
pregledniku u kontekstu posebno oblikovane web stranice.

* Druga ranjivost takodjer je posljedica neispravne provjere ulaznih podataka, no predanih 
putem POST parametra "filter" datoteci lam/templates/3rdParty/pla/htdocs/cmd.php prije 
vracanja korisniku. To se dogadja kada je opcija "cmd" postavljena na "export", a opcija "exporter_id" na "LDIF". Napadaci propust mogu iskoristiti za umetanje proizvoljnog 
HTML i skriptnog koda.

* Posljednja uocena ranjivost javlja se kao posljedica neispravne provjere ulaznih podataka predanih putem parametra "attr" datoteci lam/templates/3rdParty/pla/htdocs/cmd.php (kada je opcija "cmd" postavljena na "add_value_form", a "dn" ispravno postavljena). To se moze iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

Ranjivosti su potvrdjene u inacici 3.6, no starije inacice takodjer mogu sadrzavati iste 
ranjivosti.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrio je:

Benjamin Kunz Mejri, Vulnerability Research Laboratory.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

Benjamin Kunz Mejri:
http://www.vulnerability-lab.com/get_content.php?id=458

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________