Prilikom upotrebe paketa Coppermine Photo Gallery uočen je sigurnosni propust. Riječ je o besplatnoj višenamjenskoj galeriji fotografija. Uočeni propust posljedica je neipravne provjere ulaznih podataka predanih putem parametra "keywords" datoteci edit_one_pic.php. Zlonamjerni napdači ranjivost mogu iskoristiti za izvođenje XSS (eng. Cross Site Scripting) napada. Svim se korisnicima savjetuje korištenje ispravljene inačice.
Izvorni tekst preporuke
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2012-04-022
Naslov: Otklonjena ranjivost paketa Coppermine Photo Gallery
Datum: 2012-04-04
OS: Windows, Linux, Mac OS, BSD, Solaris
Programski paket: Coppermine Photo Gallery
Tip sigurnosnog problema: umetanje proizvoljnog HTML ili skriptnog koda
Rizik: Malen
_______________________________________________________________________________
[1] Uvod
Prilikom u potrebe programskog paketa Coppermine Photo Gallery uocen je sigurnosni nedostatak.
Coppermine Photo Gallery je visenamjenska galerija slika, napisana u skriptnom jeziku PHP
(eng. PHP: Hypertext Preprocessor).
Bitnije od karakteristika su joj:
- koristi bazu podataka MySQL,
- besplatna je,
- omogucava grupiranje slika po kategorijama i albumima,
- informacije o slikama se pohranjuju u bazi podataka,
- podrzana je na vise jezika (npr. engleski, njemacki, francuski, talijanski itd.),
- ima mogucnost pretrazivanja,
- ima mogucnost dodavanja komentara,
- ima mogucnost rotiranja fotografija,
- i dr.
Vise informacija dostupno je na sljedecoj web adresi:
http://coppermine-gallery.net/
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Ranjivost uocena u radu programskog paketa Coppermine Photo Gallery napadacima
omogucuje izvodjenje XSS napada.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca nadogradnja na novu, ispravljenu, inacicu (1.5.20).
-------------------------------------------------------------------------------
[4] Analiza
Ulazni podaci predani putem POST parametra "keywords" datoteci edit_one_pic.php nisu
ispravno provjereni prije vracanja korisniku. To se moze iskoristiti za umetanje
proizvoljnog HTML ili skriptnog koda koji se pokrece u korisnikovom pregledniku u
kontekstu posebno oblikovane web stranice. Zlouporaba podrazumijeva navodjenje korisnika na pregled zlonamjerno oblikovanih podataka.
Uspjesna zloupotreba ukljucije da napadac ima ovlasti za editiranje informacija o slikama.
Ranjivosti su potvrdjene u inacici 1.5.18. Starije inacice takodjer mogu sadrzavati
istu ranjivost.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustima otkrio je:
Janek Vind.
Tekstovi izvorne preporuke nalaze se na sljedecim adresama:
Coppermine Photo Gallery:
http://forum.coppermine-gallery.net/index.php/topic,74682.0.html
waraxe-2012-SA#081:
http://www.waraxe.us/advisory-81.html
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke