U radu programskog paketa TutorialMS uočen je sigurnosni nedostatak. Radi se o besplatnom sustavu koji koriste web urednici za indeksiranje i upravljanje uputama. Propust se javlja kao posljedica neispravne provjere ulaznih podataka prije korištenja u SQL upitima. Točnije, radi se o podacima predanim preko parametra "show" datoteci "tutorials.php". Napadači ranjivost mogu iskoristiti za upravljanje SQL upitima umetanjem proizvoljnog SQL koda. Svim se korisnicima preporuča izmjena izvornog koda.
_______________________________________________________________________________
ID upozorenja: ADV-LSS-2011-04-022
Naslov: Ranjivost programskog paketa TutorialMS
Datum: 2011-04-12
OS: Windows, Mac, Linux, Solaris
Programski paket: TutorialMS
Tip sigurnosnog problema: umetanje SQL koda
Rizik: Srednji
_______________________________________________________________________________
[1] Uvod
Prilikom upotrebe programskog paketa TutorialMS uocena je sigurnosna ranjivost.
TutorialMS je besplatni sustav za indeksiranje i upravljanje uputama (eng. tutorial), a namijenjen je web urednicima. Napisan je u objektno-orijentiranom programskom jeziku PHP, a za bazu podataka koristi MySQL.
Bitnije od njegovih mogucnosti su:
- jednostavan je za koristenje,
- ima funkcije za dodavanje clanaka i uputa,
- ima funkcije za vijesti,
- sastoji se od kategorija i podkategorija,
- sadrzi kontrolni panel preko kojeg se mogu mijenjati sve postavke i dr.
Vise informacija o navedenom paketu moguce je pronaci na sljedecoj adresi:
http://www.tutorialms.com/index.php/about.html
-------------------------------------------------------------------------------
[2] Sigurnosni problem
Uocena sigurnosna ranjivost napadacima omogucuje izvodjenje SQL napada.
-------------------------------------------------------------------------------
[3] Sigurnosna zastita
Svim se korisnicima preporuca izmjena izvornog koda kako bi osigurali da se ulazni podaci ispravno obradjuju.
-------------------------------------------------------------------------------
[4] Analiza
Ulazni podaci predani preko parametra "show" datoteci "tutorials.php" nisu ispravno provjereni u datoteci "includes/classes/tutorial.php" prije koristenja u SQL upitima. Napadaci to mogu iskoristiti za upravljanje SQL upitima umetanjem proizvoljnog SQL koda.
Ranjivost je potvrdjena u inacici 1.4, no postoji mogucnost da i ostale inacice sadrze istu ranjivost.
-------------------------------------------------------------------------------
[5] Credit
Informacije o propustu otkrio je:
Gjoko Krstic.
Tekst izvorne preporuke nalazi se na slejdecoje web adresi:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5007.php
-------------------------------------------------------------------------------
[6] LSS/ZESOI/FER
LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke
sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva
Sveucilista u Zagrebu
_______________________________________________________________________________
Posljednje sigurnosne preporuke