Archive for September, 2010

Zen Cart безбедносни предупредувања и закрпи

Тимот на Zen Ventures (http://www.zen-cart.com) во соработка со Zero Science Lab, објави безбедносни закрпи за заштита на своите корисници. Најновата верзија, 1.3.9g, објавена на 29.09.2010 е подобрената верзија од 1.3.9f, во која имаше ранливости од типот XSS, SQLi и LFI/FD.

Zero Science Lab своите безбедносни предупредувања за Zen Cart ќе ги објави на 01.10.2010 според полисата за објавување која сеуште не е јавно достапна.

Ref: Анализа на неколку веб апликации

Безбедносните предупредувања со ID: ZSL-2010-4966 и ZSL-2010-4967 со насловите: Zen Cart v1.3.9f Multiple Remote Vulnerabilities и Zen Cart v1.3.9f (typefilter) Local File Inclusion Vulnerability официјално ќе се објават на горенаведениот датум.

Првата закана е складиран XSS напад кој се наоѓа скоро секаде во панелот за администрација. Внесување или уредување на написи или вредности со дадениот стринг <script>alert(1)</script> во било која категорија ќе биде складиран и извршуван на секое посетување на таа категорија или страна од страна на авторизиран корисник на напнелот.

Втората закана е Blind SQL Injection која исто така се наоѓа во администрацискиот панел (акредитивни корисници), post-auth, во скриптата “option_name_manager.php” преку “option_order_by” параметарот кој не користи санирање на корисничко внесување што може да дојде до не сакани резултати од откривање на доверливи информации до целосна контрола врз базата на податоци и нејзина манипулација.

Доказ на концепт: http://127.0.0.1/admin/options_name_manager.php?option_page=1&option_order_by=/ [ EXPLOIT ]

Третата закана е ранливост од типот Local File Inclusion (LFI) или File Disclosure (FD) која им овозможува на напаѓачите на локално ниво да вметнуваат или вклучуваат своеволни податоци на локално ниво или гледање на содржински податоци со помош на пропатување низ директориуми (Directory Traversal) и URL енкодирани нулта бајти.
Ранливиот параметар “typefilter” не користи никаква проверка кога вклучува некој податок:

if (isset($_GET[‘typefilter’])) $typefilter = $_GET[‘typefilter’];

Доказ на концепт: http://127.0.0.1/index.php?typefilter=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fboot.ini%00

Предупредување: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4966.php
Предупредување: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4967.php

Сурови логови од анализата:
LOG1.txt
LOG2.txt
LOG3_with_zc_install_folder.txt
LOG4.txt
LOG5.txt

Softek Barcode Reader Toolkit ActiveX 7.1.4.14 (SoftekATL.dll) Buffer Overflow PoC

Vendor: Softek Software Ltd
Product web page: http://www.bardecode.com
Affected version: 7.1.4.14

Summary: The Softek Barcode Reader Toolkit for Windows is a SDK that enables applications
to extract barcode information from images. The API’s available in the toolkit include .net,
java, com, ocx and windows dll. The standard version includes support for both 1 and 2-D
barcodes and special features include the ability to split documents by barcode position.

Desc: The vulnerability is caused due to a boundary error in SoftekATL.DLL when handling the
value assigned to the “DebugTraceFile” property and can be exploited to cause a heap-based
buffer overflow via an overly long string which may lead to execution of arbitrary code.

————————————————————————–

(824.ce0): Access violation – code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000001 ebx=44444444 ecx=7ffdf000 edx=00470608 esi=00470000 edi=4444443c
eip=7c96fa89 esp=0013f0a0 ebp=0013f100 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246
ntdll!RtlpNtMakeTemporaryKey+0x7d45:
7c96fa89 0fb707 movzx eax,word ptr [edi] ds:0023:4444443c=????
0:000> g
(824.ce0): Access violation – code c0000005 (first chance)
First chance exceptions are reported before any exception handling.
This exception may be expected and handled.
eax=00000001 ebx=42424242 ecx=7ffdf000 edx=00470608 esi=00470000 edi=4242423a
eip=7c96fa89 esp=0013f0ac ebp=0013f10c iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00010246
ntdll!RtlpNtMakeTemporaryKey+0x7d45:
7c96fa89 0fb707 movzx eax,word ptr [edi] ds:0023:4242423a=????
0:000> g
eax=00000000 ebx=00000000 ecx=7c800000 edx=7c97e120 esi=7c90de6e edi=00000000
eip=7c90e514 esp=0013fe5c ebp=0013ff58 iopl=0 nv up ei pl zr na pe nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000246
ntdll!KiFastSystemCallRet:
7c90e514 c3 ret

———————–

EIP 7C96FA89
EAX 00000001
EBX 42424242
ECX 7FFDD000 -> 0013F0FC
EDX 00470608 -> 00152CA0
EDI 42424239
ESI 00470000 -> 000000C8
EBP 0013F10C -> 0013F1F4
ESP 0013F0AC -> 00470000

————————————————————————–

Tested on: Microsoft Windows XP Professional SP3 (English)
Microsoft Windows Internet Explorer 8.0.6001.18702
Softek Barcode Reader 7.3.1

Advisory: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4965.php

MoodBoard

Ref: http://liquidworm.deviantart.com/gallery/

Netautor Professional 5.5.0 (goback) XSS Vulnerability

Vendor: /digiconcept/
Product web page: http://www.digiconcept.net
Affected version: 5.5.0 and DW 5.3.1

Summary: Netautor Professional is an application server and
development environment. Netautor Professional was developed
to serve the practical needs of users, and was continuously
advanced.

Digital Workroom is a well proven and time-tested Content Management
System. It`s based on also digiconcept`s developed Application Server
“Netautor Professional” and PHP 5. The standard functional range covers
the majoritarian needs on Internet- and Intranet environments for publication
and communication.

Desc: Netautor Professional v5.5.0 suffers from a XSS vulnerability because
input passed via the “goback” parameter to login2.php script is not properly
sanitised before being returned to the user. This can be exploited to execute
arbitrary HTML and script code in a user’s browser session in context of an
affected site.

Tested on: MS WinXP Pro SP3 (EN)
PHP 5.3.0
MySQL 5.1.36
Apache 2.2.11 (Win32)

Vendor status: [14.09.2010] Vulnerability discovered.
[15.09.2010] Contact with the vendor.
[17.09.2010] No reply from vendor.
[17.09.2010] Public advisory released.

Advisory: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4964.php

Анализа на неколку веб апликации

Минатиот викенд преземавме неколку веб апликации, CMS, по случаен избор, за да ги тестираме од ранливости со помош на статична анализа на изворен код. Со неколку алатки за ревизија преземени од листава, успеавме да најдеме неколку ранливости и неколку потенцијални ранливости во следниве веб апликации:

Ez Publish 4.3 (http://www.ez.no)
Bigace 2.7.2 (http://www.bigace.de)
dorcMan 3.0.2 (http://www.dorcman.org)
MySource Matrix 3.28.3 (http://matrix.squiz.net) (закрпено) (ZSL-2010-4962)
Zen Cart 1.3.9f (http://www.zen-cart.com) (закрпа во тек) (ZSL-2010-????)
Textpattern 4.2.0 (http://www.textpattern.com) (ZSL-2010-4963)
Tube Ace 1.5 (http://www.tubeace.com)

Нивото на ризикот од пронајдените ранливости или на оние потенцијалните е некаде од 2 до 3 кадешто 1 е најниското а 5 е највисокото и најопасното ниво :)

Сите апликации се тестирани на следниве платформи:
– Microsoft Windows XP Professional SP3 (EN)
– PHP 5.3.0
– MySQL 5.1.36
– Apache 2.2.11 (Win32)

Од горенаведените апликации, MySource Matrix е закрпена, Zen Cart е во процес на развивање на закрпа, Textpattern – креаторите не одговорија на е-маил и останатите се оние кои содржат потенцијални ранливости.
Беа пронајдени ранливости од типот Persistent и Reflected(Non-Persistent) Cross-Site Scripting, SQL Injection, Local и Remote File Inclusion (LFI/RFI), File Disclosure, Directory Traversal и Denial Of Service (DoS).

За детали на потенцијалните ранливи апликации, ги закачивме необработените логови од анализите:
– Ez Publish (Arbitrary File Event, Potential SQL Error) – Ez_Publish-Audit_Log_1.txt
– Bigace (Potential SQL Error) – Bigace-Audit_Log_1.txt
– dorcMan (Potential SQL Error) – dorcMan-Audit_Log_1.txt
– Tube Ace (Cross-Site Scripting) – Tube_Ace-Audit_Log_1.txt

—–

– MySource Matrix (Cross-Site Scripting) – MySource_Matrix-Audit_Log_1.txt

Останатите апликации кои се со всушност потврдена ранливост беа Zen Cart, MySource Matrix и Textpattern. За Zen Cart нема да дискутираме нити пак да откриваме информации бидејќи се работи на подобрена верзија и секако побезбедна. Ќе биде објавено соодветно безбедносно предупредување откако производителот ќе ја објави подобрената верзија.

Што се однесува до MySource Matrix, веб апликација произведена од компанијата Squiz Pty Ltd. од Австралија. Во соработка со Zero Science Lab, Squiz објави подобрена верзија (3.28.4) во која е закрпена и пронајдената ранливост Cross-Site Scripting.
Се работи за скриптата char_map.php која се наоѓа во “/fudge/wysiwyg/plugins/special_chars/char_map.php” и нејзините 2 параметри “height” и “width” на кои не им се аплицира соодветно санирање односно проверка на внесената вредност пред таа да се врати до корисникот.
Ранливиот код се наоѓа во линиите 182 и 183:

<?php echo $_REQUEST['width'];?>;
<?php echo $_REQUEST['height'];?>;

Со помош на оваа ранливост (Reflected XSS), напаѓачот со различни техники може да го измами корисникот и да дојде до саканите информации во контекст на заразениот сајт.

Брзо решение е да се отстранат двете линии за кои производителот изјави дека и така не вршат некаква си функција.

Textpattern е исто така веб апликација, CMS, произведена од Team Textpattern. Тимот на Textpattern не одговори на нашиот труд за комуникација и решивме да го објавиме наодот според нашата полиса за јавно објавување. Се работи за Cross-Site Scripting ранливоста извршена со помош на NULL Termination.

Ранливоста се наоѓа во Textpattern (TXP) Tag Library (txplib_db.php) преку “q” параметрот со чија помош напаѓачот е во состојба да извршува своеволен HTML или JavaScript код директно во корисничкиот прелистувач и негова сесија со користење на нулта енкодирани стрингови (null byte).

Ранливиот параметар се наоѓа во qParamtxtpattern_locations.txt

Доказ на концепт: http://127.0.0.1/textpattern/?q=%00<script>alert(1)</script>

MySource Matrix 3.28.3 (height) Remote Reflected XSS Vulnerability

Vendor:

Squiz Pty Ltd. – http://www.squiz.net

http://www.matrix.squiz.net/

Summary:

MySource Matrix is a powerful Open Source Content Management System
(CMS) written in PHP and is suitable for many types of organisations.

Description:

Input passed via the “height” parameter to char_map.php is not properly
sanitised before being returned to the user. This can be exploited to execute
arbitrary HTML and script code in a user’s browser session in context of an
affected site.

Tested on:

MS WinXP Pro SP3 (EN)
PHP 5.3.0
MySQL 5.1.36
Apache 2.2.11 (Win32)

Version affected:

3.28.3

Vulnerable lines:

182: // <?php echo $_REQUEST[‘width’];?>;
183: // <?php echo $_REQUEST[‘height’];?>;

Solution:

Existing users can remove the two commented out lines from:
/path/to/matrix/fudge/wysiwyg/plugins/special_chars/char_map.php (lines 182 and 183)

Vendor status:

[05.09.2010] Vulnerability discovered.
[06.09.2010] Vendor contacted.
[06.09.2010] Vendor replied asking details.
[06.09.2010] Sent analysis report to vendor.
[06.09.2010] Vendor verifies vulnerability.
[06.09.2010] Vendor releases fix versions 3.26.8 and 3.28.4.
[06.09.2010] Public advisory released.

Advisory: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4962.php

LEADTOOLS ActiveX Common Dialogs 16.5 Multiple Remote Vulnerabilities

Vendor: LEAD Technologies, Inc.
Product Web Page: http://www.leadtools.com
Affected version: 16.5.0.2

Summary: With LEADTOOLS you can control any scanner, digital camera
or capture card that has a TWAIN (32 and 64 bit) device driver.
High-level acquisition support is included for ease of use while
low-level functionality is provided for flexibility and control in
even the most demanding scanning applications.

Desc: LEADTOOLS ActiveX Common Dialogs suffers from multiple remote
vulnerabilities (IoF, BoF, DoS) as it fails to sanitize the input in
different objects included in the Common Dialogs class.

Vulnerable Objects/OCX Dialogs (Win32):

1. ActiveX Common Dialogs (Web) ——————–> LtocxWebDlgu.dll
2. ActiveX Common Dialogs (Effects) —————-> LtocxEfxDlgu.dll
3. ActiveX Common Dialogs (Image) ——————> LtocxImgDlgu.dll
4. ActiveX Common Dialogs (Image Effects) ———-> LtocxImgEfxDlgu.dll
5. ActiveX Common Dialogs (Image Document)———-> LtocxImgDocDlgu.dll
6. ActiveX Common Dialogs (Color) ——————> LtocxClrDlgu.dll
7. ActiveX Common Dialogs (File) ——————-> LtocxFileDlgu.dll

Advisory: http://www.zeroscience.mk/mk/vulnerabilities/ZSL-2010-4961.php