Prilikom upotrebe programskog paketa WebCalendar uočeni su višestruki sigurnosni propusti. Radi se o PHP aplikaciji koja se koristi za vođenje kalendara događaja za jednog ili više korisnika. Spomenuti propusti posljedica su neispravne provjere ulaznih podataka prije prikaza korisniku. Radi se o podacima predanih putem parametara "name", "description" i "location" datoteci "edit_entry_handler.php". Udaljeni napadači ranjivosti mogu iskoristiti za umetanje proizvoljnog HTML i skriptnog koda u korisničkom pregledniku u kontekstu ugrožene stranice. Svim se korisnicima preporuča izmjena izvornog koda.
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2011-04-021
Naslov: Uoceni visestruki propusti u radu programskog paketa WebCalendar
Datum: 2011-04-08
OS: Windows, Apple, Mac OS, Linux/UNIX
Programski paket: WebCalendar
Tip sigurnosnog problema: umetanje proizvoljnog HTML i skriptnog koda
Rizik: Malen
_______________________________________________________________________________
[1] Uvod
U radu programskog paketa WebCalendar uoceni su visestruki sigurnosni nedostaci.
WebCalendar je PHP aplikacija koja se koristi za odrzavanje kalendara za jednog ili vise korisnika na Internetu. Moze koristiti baze podataka MySQL, PostgreSQL, Oracle, DB2 i dr.
Bitnije od njegovih mogucnosti su:
- postavljanje rasporeda za jednu osobu,
- postavljanje rasporeda za skupinu ljudi,
- postavljanje rasporeda za dogadjaje na nacin da i posjetitelji mogu dodavati dogadjaje,
- pregled kalendara putem dana, tjedna, mjeseca i godine,
- pregled drugog korisnickog kalendara,
- dodavanje, uredjivanje i brisanje korisnika i/ili kalendara,
- izbor boja i formata datuma,
- slanje e-maila za nadolazece dogadjaje i dr.
Vise informacija o navedenom paketu mozete prnaci na slejdecoj web adresi:
http://www.k5n.us/webcalendar.php
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Spomenuti sigurnosni propusti, uoceni u radu programskog paketa WebCalendar, zlonamjernim napadacima omogucuju izvodjenje napada umetanjem skripti.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca vlastorucna izmjena izvornog koda.
-------------------------------------------------------------------------------
[4] Analiza
Ulazni podaci predani preko parametara "name", "description" i "location" datoteci
"edit_entry_handler.php" nisu ispravno provjereni prije prikaza korisniku. To se moze
iskoristiti za umetanje proizvoljnog HTML i skriptnog koda u korisnickom pregledniku u kontekstu ugrozene stranice kada se prikazuju zlonamjerni podaci.
Ranjivosti su potvrdjene u inacici 1.2.3. Ostale inacice takodjer mogu sadrzavati iste
propuste.
-------------------------------------------------------------------------------
[5] Credit
Informacije o sigurnosnom problemu objavio je:
Matt Jezorek.
Tekst izvorne preporuke dostupan je na sljedecoj adresi:
https://www.upsploit.com/index.php/advisories/view/UPS-2010-0004
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke