[Wichtig!] Kritische Sicherheitslücke im News-Modul

dc2 · 26. August 2011 11:59

In der action.editarticle.php des News-Moduls fehlt die Überprüfung, ob der Benutzer angemeldet ist und die benötigten Berechtigungen hat.

Dadurch können alle News in allen CMSMS-Versionen von jedem manipuliert werden.

Ursprüngliche Meldung im cmsmadesimple.org-Forum:

dwave schrieb:

Steps to reproduce:
1. Open Browser, enter URL:
[DELETD]

Solange noch kein Hotfix veröffentlicht wurde - hier eine Möglichkeit, das Problem schnell zu beheben.

Nach den ersten zwei Zeilen der action.editarticle.php:

Hier klicken, um den Code zum Kopieren zu markieren

if (!isset($gCms))
    exit;

Sollte folgendes eingefügt werden:

Hier klicken, um den Code zum Kopieren zu markieren

if (!$this->CheckPermission('Modify News')) {
    echo $this->ShowErrors($this->Lang('needpermission', array(
        'Modify News'
    )));
    return;
}

Somit können nurnoch angemeldete Benutzer mit den entsprechenden Rechten die Artikel bearbeiten.

Beitrag geändert von dc2 (26. August 2011 16:36)

NaN · 26. August 2011 12:03

Naja, also eine wirklich kritische Sicherheislücke stelle ich mir zwar anders vor, aber danke für den Hinweis.

dc2 · 26. August 2011 12:09

Damit kann beliebiger HTML- und JS-Code in die Seite eingefügt werden, was ohne Probleme für XSS-Attacken, Einschleusung von JS-Exploits und so weiter genutzt werden kann.

Außerdem wird der Input, der ja eigentlich nur von "vertrauenswürdigen" Nutzern kommt, nicht unbedingt überall mit der notwendigen Vorsicht behandelt.
In der direkten DB-Abfrage in der editarticle wird der String zwar escaped, aber derselbe String wird ungefiltert mit dem Event "NewsArticleEdited" mitgesendet - es kann durchaus sein, dass es da Eventlistener gibt, die dem String vertrauen und irgendwas weniger schlaues damit anstellen.

NaN · 26. August 2011 12:17

Aber nur, wenn man bereits eingeloggt ist. (<- Blödsinn)

Hast Du mal einen Blick in die CMSms 1.10 Beta geworfen?
Ist das da auch noch so?
Falls ja, würde ich Dich bitten, den Fehler umgehend zu melden.

dc2 · 26. August 2011 12:19

Ja, es ist auch noch in der 1.10 enthalten und da wurde es auch ursprünglich gemeldet smile

Ich denke, dass es da schnell einen Fix geben wird - die Änderung ist ja wirklich sehr einfach.

Edit: Was meinst du mit "wenn man bereits angemeldet ist"? Die Weiterbehandlung des Events? Ja, das stimmt natürlich.

Beitrag geändert von dc2 (26. August 2011 12:20)

NaN · 26. August 2011 12:52

Nee, Du hast schon recht.
Hab nicht genau gelesen.
Bin von /admin/moduleinterface.php?mact=News,m1_,editarticle,0 ausgegangen.
Hab nicht damit gerechnet, dass das ja im Frontend genauso funktioniert.

dc2 · 26. August 2011 12:55

Eben drum. Würden einfach nur beliebige, aber immerhin korrekt eingeloggte Benutzer was ausrichten können, dann wäre die Lücke wirklich nicht so kritisch.
Aber so ist das doch schon ein ziemlicher Hammer, der mit Sicherheit auch bald ausgenutzt wird, solange die Tür soweit aufgerissen dasteht.

Edit: Ich habe im Eingangspost einen Verweise zur ursprünglichen Meldung hinzugefügt - ann wird auch klarer, dass das ganze auch unangemeldet übers Frontend funktioniert (einfach mal selbst ausprobieren).

Beitrag geändert von dc2 (26. August 2011 13:07)

piratos · 26. August 2011 14:49

Ich kann nur das wiederholen was Cyberman schon einige Male angeraten haben - die sollen sich endlich einen Scanner zulegen. Ansonsten -- weitere Überraschungen folgen, sind schon gepackt.

AL-d82 · 27. August 2011 19:54

NEWS-Modul Update ist da

Habt ihr das weitergegeben?

Announcing CMSMS 1.9.4.3 - Important Security Release

Today we have released CMSMS 1.9.4.3, a minor release that fixes a single security issue in the news module. Essentially, a malicious person could via accessing a sincle URL corrupt your news articles.

This issue has been around for a long time, and only recently came to light. We recommend that everybody upgrade their CMSMS installs as soon as possible.

There is no database schema change in this version, therefore we have provided 'patch' versions to make this easier for those that are running a recent version of CMSMS. You should be able to download the appropriate 'diff' package, and upload it directly to your site(s).

Thank you for your time and consideration.

We would like to thank the people that reported this issue in a professional and mature manner.

faglork · 31. August 2011 16:24

Naja,

wenn man sich die Kommentare so ansieht ist es wohl besser erstmal den oben beschriebenen Code einzubauen anstatt die Installation zu aktualisieren:
http://forum.cmsmadesimple.org/viewtopi … =1&t=56442

Servus,
Alex

Cherry · 31. August 2011 19:47

hab auch nur den Code eingebaut....
zumindestens laufen meine Installationen auf diese Weise noch ;-)

nockenfell · 31. August 2011 21:34

So schlimm ist das Update nicht. Wenn man den TinyMCE schon auf 2.9.1 gebracht hat, muss man nach dem Update die Files des TinyMCE nochmals hochladen oder per XML importieren. Danach hat bei mir jede Installation wieder problemlos funktioniert.

AL-d82 · 01. September 2011 18:07

nockenfell schrieb:

So schlimm ist das Update nicht. Wenn man den TinyMCE schon auf 2.9.1 gebracht hat, muss man nach dem Update die Files des TinyMCE nochmals hochladen oder per XML importieren. Danach hat bei mir jede Installation wieder problemlos funktioniert.

hat bei mir nicht geklappt sad

Tiny macht Probleme..
habe TinyMCE deinstalliert und gelöscht.
Neue hochgeladen und installiert. Problem bleibt siehe Clip

http://www.youtube.com/embed/OYxHEEy-RCM?hl=de&fs=1

jedes 2. Bild wird im Tiny MCE nicht mehr richtig verknüpft sad

Was kann man noch machen?

greez AL

dc2 · 01. September 2011 18:10

Ich würd mal versuchen, 1.9.4.2 wieder aufzuspielen und die Datei dann manuell zu patchen.

Forum für CMS/made simple

#1 26. August 2011 11:59

[Wichtig!] Kritische Sicherheitslücke im News-Modul

#2 26. August 2011 12:03

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#3 26. August 2011 12:09

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#4 26. August 2011 12:17

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#5 26. August 2011 12:19

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#6 26. August 2011 12:52

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#7 26. August 2011 12:55

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#8 26. August 2011 14:49

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#9 27. August 2011 19:54

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#10 31. August 2011 16:24

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#11 31. August 2011 19:47

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#12 31. August 2011 21:34

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#13 01. September 2011 18:07

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

#14 01. September 2011 18:10

Re: [Wichtig!] Kritische Sicherheitslücke im News-Modul

Fußzeile des Forums