форум общения русскоязычных пользователей CMS Текстпаттерн
Вы не зашли.
http://rstghc.livejournal.com/3064.html#cutid1
1. локал инклуд. неюзабельный
http://.../textpattern/index.php?event=log.php/../../license.txt%00
Неюзабельность состоит в том, что у юзера должны быть права на доступ ко всем модулям, т.е. админ, а ему проще использовать баг намбер 4 (см.ниже).
2. XSS - баг юзабельный. как стать админом:
textpattern/publish/log.php
в логи доступа к сайту пишется параметр $_SERVER['REQUEST_METHOD']
через него можно передать HTML теги и поиметь админа, просматривающего логи
3. странные права доступа. редактор блога может админа понизить в статусе
4. "админ" и "дизайнер" может корректировать html код - возможна вставка PHP бекдора
Что делать?
Отредактированно glebotr (30-12-2007 14:51:36)
Неактивен
glebotr написал:
Что делать?
Статья начинается со слов:
В начале 2007 года один из приятелей попросил посмотреть двиг textpattern.
точно не помню, но скорее всего, это была версия 4.0.3.
Очень большая вероятность, что потенциальная уязвимость с логами уже устранена (проверить нет времени :-()
Если есть опасения, то есть рецепт "Лекарства против страха": http://textpattern.ru/forum/viewtopic.php?id=1170
Отредактированно Evgeny (30-12-2007 18:36:26)
Неактивен
Не проверял, но если так, то хорошо, что обнаружились хоть какие-то уязвимости. Ведь если о них ничего не писали, то это ещё не означало, что их не было. Соответственно, уязвимости были, но мы о них ничего не знали и было сложнее их устранить.
1. Не критично. Для этого нужно стать либо админом, либо дизайнером.
2. Решения:
2.1. Обработать переменную через strip_tags().
2.2. Переименовать log.php в собственный вариант и соответственно настроить includes в publish.php и txp_diag.php
А лучше сделать и то, и другое.
3 и 4. Админ может сам настраивать права доступа.
Рекомендация: не давать любых прав доступа к административной панели людям, которым не доверяете.
Неактивен
Цитирую автора находки: "про стиптегс() сказали не совсем верно. лучше добавить htmlspecialchars"
Неактивен
Nechaev написал:
Не проверял, но если так, то хорошо, что обнаружились хоть какие-то уязвимости.
Согласен наполовину.
Лучше когда сообщается об УСТРАНЕНИИ той или иной уязвимости.
Насколько понимаю, отображением логов занимается include/txp_log.php
Судя по svn - последняя модификация этого файла была 7 месяцев назад
Неактивен
Евгений, перед устранением уязвимости происходит её обнаружение.
Отредактированно Nechaev (06-01-2008 14:23:40)
Неактивен
Nechaev написал:
перед устранением уязвимости происходит её обнаружение.
Тоже согласен :-)
Но грустно, когда извещение про потенциальную уязвимость есть, а сообщения про устранение-нет.
Я бегло посмотрел вышеобозначенный файл, но толком не понял- сделано ли что-то для устранения этого недочета или нет.
Надо, на всякий случай поставить в изаестность об этом разработчиков.
Кто силен в письменном английском - большая просьба поднять вопрос про эту багу на оф.форуме.
По крайней мере будет ясно - устранена она или нет
Неактивен
Отправил авторам... Посмотрим что нам ответят
Неактивен
the_ghost написал:
Отправил авторам...
Спасибо!
Отправил емэйлом?
Лучше на форуме поднимать вопрос.
В любом случае - держи в курсе :-)
Отредактированно Evgeny (08-01-2008 15:14:14)
Неактивен
Evgeny написал:
the_ghost написал:
Отправил авторам...
Спасибо!
Отправил емэйлом?
Лучше на форуме поднимать вопрос.
В любом случае - держи в курсе :-)
Отправил email'om т.к. написано на форуме чтобы сперва мылом оповещали. Безопасность и все такое
Неактивен
the_ghost, нет никаких вестей?
Смотрю svn - там массовая замена escape_output() на htmlspecialchars () сделана во многих файлах.
Вот и прикидываю - может это твое письмо таким образом отработано?
Неактивен
Без понятия - ответа на почту я не получил Будем тешить себя мыслью, что это НАШ вклад в развитие Textpattern
Неактивен
the_ghost написал:
Без понятия - ответа на почту я не получил
может быть, повторить письмо? или нескольким разработчикам отправить персонально, через форму форума?
Отредактированно Evgeny (23-01-2008 13:17:36)
Неактивен
Запросил у Mary - получили ли они баг. Посмотрим
P.S. Сказали, что form was broken - отправил еще раз письмицо с "багами". На сей раз уж точно получит
Отредактированно the_ghost (24-01-2008 00:18:02)
Неактивен
А вот и ответ:
1. r2781/r2782
2. r2778
3. Appears impossible. We need more details please.
Кажется невозможным. Пожалуйста подробнее
4. If the publisher/admin wants to exploit their own site, we can't
really do anything about that. However, PHP can already be turned off
completely if you cannot trust the folks you give access to your site.
See Advanced Preferences.
4. Если уже издатель\админ захочет завести backdoor - нам его не остановить. Но если не доверяете своей команде - отключите php в настройках
-Mary
Вот ссылки на изменения:
1. http://dev.textpattern.com/changeset/2778 (Thank Victor )
2. http://dev.textpattern.com/changeset/2772
Отредактированно the_ghost (26-01-2008 03:01:57)
Неактивен
the_ghost написал:
Вот ссылки на изменения:
Отлично! Спасибо, the_ghost!
С нетерпением ждем релиза 4.0.6
Неактивен
Некоторые на 4.0.5 -то недавно переползли...
Неактивен
the_ghost написал:
А вот и ответ:
the_ghost, раз уж тебе ответы приходят - может быть сможешь объяснить разработчикам про древний ляп, с отображением секции по английски при редактировании статьи?
Писали по русски про это здесь: http://textpattern.ru/forum/viewtopic.p … 9352#p9352
На оф. форуме я пытался наладить общение с разработчиками по этому вопросу ( http://forum.textpattern.com/viewtopic.php?id=22975 ),
но Мари не поняла или сделала вид, что не поняла - в чем заключается проблема.
Там надо, при отображении секций, выводить не name секций, а title + при отображении списка секций сортировать их по title
Попробуй, пожалуйста, возобновить эту тему.
Неактивен
Evgeny - вы про меню справа в при написании статьи? Хотите чтобы там были не names а titles?
Неактивен
Нет, проблема в том, что при выводе урла типа http://site.ru/category если русифицировать слово "категория", то урл будет http://site.ru/категория/... и работать не будет.
Я точно передал?
Неактивен
Я про список секций справа, при написании статьи.
Насчет хочу ли этого или не хочу... Думаю, это было бы правильно.
При почти 100% русофикации этот список секций с английскими буквами режет глаз.
цитирую из предыдущего обсуждения:
Evgeny написал:
При написании-редактировании статьи Список секций у всех выводится на английском?
Ни разу этот вопрос на форуме не поднимался.
А то может это у меня только такой эксклюзив? :-)
Неактивен
Странно, но уязвимость номер 2 не устранена или устранена где-то в другом месте, но файл textpattern/publish/log.php в 4.0.6 идентичен тому, что в 4.0.5, равно как и функция serverSet, которая обрабатывает переменную.
Неактивен
А теперь рассмотрим вот это:
http://www.securitylab.ru/vulnerability/312707.php
Неактивен