Kreirano Ponedjeljak, 10 Rujan 2012

Ranjivost programskog paketa MediaWiki

U radu programskog paketa WordPress uočeni su višestruki sigurnosni propusti. MediaWiki je paket namijenjen izradi i održavanju wiki stranica, a napisan je u programskom jeziku PHP. Spomenuti propusti posljedica su pogrešaka vezanih uz rukovanje IP adresama, HTTP zahtjevima i ulaznim podacima, te pogreškama u baratanju pohranom korisničkih podataka. Napadačima omogućuju otkrivanje osjetljivih informacija, izvođenje XSS (eng. cross-site scripting) napada te zaobilaženje određenih sigurnosnih ograničenja. Svim se korisnicima preporuča nadogradnja na ispravljene inačice.

_______________________________________________________________________________
ID upozorenja: ADV-LSS-2012-09-045
Naslov: Ranjivost programskog paketa MediaWiki
Datum: 2012-09-10
OS: Windows, Linux/UNIX 
Programski paket: MediaWiki
Tip sigurnosnog problema: XSS napad, obilazenje postavljenih sigurnosnih ogranicenja
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa WordPress uoceno je vise sigurnosnih problema.

Rijec je o paketu namijenjenom izradi i odrzavanju wiki stranica, a napisan je u programskom jeziku PHP.

Bitnije od njegovih mogucnosti su:
- korisnik ne mora znati HTML ili CSS da bi napravio web stranicu,
- omogucuje korisniku editiranje sadrzaja, no ne brise ga iz baze podataka kako bi se taj sadrzaj mogao vratiti u slucaju napada, odnosno nezenjenog sadrzaja (eng. spam),
- ima mogucnost upravljanja slikama i multimedijskim sadrzajem,
- i dr.

Vise informacija dostupno je na sljedecoj web adresi:

MediWiki:

http://www.mediawiki.org/wiki/How_does_MediaWiki_work%3F 

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu programskog paketa MediaWiki napadacima omogucuju otkrivanje osjetljivih informacija, izvodjenje XSS (eng. cross-site scripting) napada te zaobilazenje pojedinih sigurnosnih ogranicenja.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacice 1.18.5 ili 1.19.2. Ukoliko se koristi vanjska autentikacija preporuca se kontaktiranje proizvodjaca za dobivanje vise detalja o zaobilaznim rjesenjima.

-------------------------------------------------------------------------------

[4]  Analiza

* Ulazni podaci predani putem komentara "File:" (nepostojecoj datoteci) i parametra "uselang" (datoteci index.php) nisu ispravno provjereni prije koristenja. Napadaci ih mogu iskoristiti za pokretanje proizvoljnog HTML ili skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

* Aplikacija omogucava provodjenje odredjenih radnji putem HTTP zahtjeva, a bez valjane provjere takvih zahtjeva. Nije poznato na koji je nacin moguce iskoristiti navedeni problem.

* Pogreske vezane uz rukovanje IP adresama kod dodatka GlobalBlocking napadacima omogucuju obilazenje mehanizama za blokiranje te kreiranje novih korisnickih racuna sa blokiranih adresa.

* Sljedeca ranjivost vezana je uz pogreske pohranjivanja korisnickih podataka. Aplikacija ih pohranjuje preko vanjskog dodatka (npr. preko LDAP-aa) dodajuci ih u lokalnu bazu podataka sto potencijalno moze rezultirati zaobilazenjem strogih provjera autenticnosti i koristenja starih lozinki.

* Posljedenja uocena ranjivost javlja se pri rukovanju s blokiranjem korisnika sto moze uzrokovati otkrivanje razloga za blokiranje i to preko nekih drugih napada. 

Ranjivosti su potvrdjene u inacicama prije inacice 1.18.5 i prije inacice 1.19.2. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

- Writ Keeper, MediaWiki,
- Fomafix, MediaWiki,
- proizvodjac.

Tekstovi izvorne preporuke nalaze se na sljedecim adresama:

http://lists.wikimedia.org/pipermail/mediawiki-announce/2012-August/000119.html

https://www.mediawiki.org/wiki/Release_notes/1.18

https://www.mediawiki.org/wiki/Release_notes/1.19

https://bugzilla.wikimedia.org/show_bug.cgi?id=37587

https://bugzilla.wikimedia.org/show_bug.cgi?id=39180

https://bugzilla.wikimedia.org/show_bug.cgi?id=39184

https://bugzilla.wikimedia.org/show_bug.cgi?id=39700

https://bugzilla.wikimedia.org/show_bug.cgi?id=39823

https://bugzilla.wikimedia.org/show_bug.cgi?id=39824

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr