U radu programskog paketa WordPress uočeni su višestruki sigurnosni propusti. MediaWiki je paket namijenjen izradi i održavanju wiki stranica, a napisan je u programskom jeziku PHP. Spomenuti propusti posljedica su pogrešaka vezanih uz rukovanje IP adresama, HTTP zahtjevima i ulaznim podacima, te pogreškama u baratanju pohranom korisničkih podataka. Napadačima omogućuju otkrivanje osjetljivih informacija, izvođenje XSS (eng. cross-site scripting) napada te zaobilaženje određenih sigurnosnih ograničenja. Svim se korisnicima preporuča nadogradnja na ispravljene inačice.
Izvorni tekst preporuke
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2012-09-045
Naslov: Ranjivost programskog paketa MediaWiki
Datum: 2012-09-10
OS: Windows, Linux/UNIX
Programski paket: MediaWiki
Tip sigurnosnog problema: XSS napad, obilazenje postavljenih sigurnosnih ogranicenja
Rizik: Srednji
_______________________________________________________________________________
[1] Uvod
Prilikom upotrebe programskog paketa WordPress uoceno je vise sigurnosnih problema.
Rijec je o paketu namijenjenom izradi i odrzavanju wiki stranica, a napisan je u programskom jeziku PHP.
Bitnije od njegovih mogucnosti su:
- korisnik ne mora znati HTML ili CSS da bi napravio web stranicu,
- omogucuje korisniku editiranje sadrzaja, no ne brise ga iz baze podataka kako bi se taj sadrzaj mogao vratiti u slucaju napada, odnosno nezenjenog sadrzaja (eng. spam),
- ima mogucnost upravljanja slikama i multimedijskim sadrzajem,
- i dr.
Vise informacija dostupno je na sljedecoj web adresi:
MediWiki:
http://www.mediawiki.org/wiki/How_does_MediaWiki_work%3F
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Ranjivosti uocene u radu programskog paketa MediaWiki napadacima omogucuju otkrivanje osjetljivih informacija, izvodjenje XSS (eng. cross-site scripting) napada te zaobilazenje pojedinih sigurnosnih ogranicenja.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca nadogradnja na inacice 1.18.5 ili 1.19.2. Ukoliko se koristi vanjska autentikacija preporuca se kontaktiranje proizvodjaca za dobivanje vise detalja o zaobilaznim rjesenjima.
-------------------------------------------------------------------------------
[4] Analiza
* Ulazni podaci predani putem komentara "File:" (nepostojecoj datoteci) i parametra "uselang" (datoteci index.php) nisu ispravno provjereni prije koristenja. Napadaci ih mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.
* Aplikacija omogucava provodjenje odredjenih radnji putem HTTP zahtjeva, a bez valjane provjere takvih zahtjeva. Nije poznato na koji je nacin moguce iskoristiti navedeni problem.
* Pogreske vezane uz rukovanje IP adresama kod dodatka GlobalBlocking napadacima omogucuju obilazenje mehanizama za blokiranje te kreiranje novih korisnickih racuna sa blokiranih adresa.
* Sljedeca ranjivost vezana je uz pogreske pohranjivanja korisnickih podataka. Aplikacija ih pohranjuje preko vanjskog dodatka (npr. preko LDAP-aa) dodajuci ih u lokalnu bazu podataka sto potencijalno moze rezultirati zaobilazenjem strogih provjera autenticnosti i koristenja starih lozinki.
* Posljedenja uocena ranjivost javlja se pri rukovanju s blokiranjem korisnika sto moze uzrokovati otkrivanje razloga za blokiranje i to preko nekih drugih napada.
Ranjivosti su potvrdjene u inacicama prije inacice 1.18.5 i prije inacice 1.19.2.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustima otkrili su:
- Writ Keeper, MediaWiki,
- Fomafix, MediaWiki,
- proizvodjac.
Tekstovi izvorne preporuke nalaze se na sljedecim adresama:
http://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html
https://www.mediawiki.org/wiki/Release_notes/1.18
https://www.mediawiki.org/wiki/Release_notes/1.19
https://bugzilla.wikimedia.org/show_bug.cgi?id=37587
https://bugzilla.wikimedia.org/show_bug.cgi?id=39180
https://bugzilla.wikimedia.org/show_bug.cgi?id=39184
https://bugzilla.wikimedia.org/show_bug.cgi?id=39700
https://bugzilla.wikimedia.org/show_bug.cgi?id=39823
https://bugzilla.wikimedia.org/show_bug.cgi?id=39824
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke