Montag, 13. September 2010

PHP

OpenX Hotfix für Sicherheitsproblem

In OpenX ist eine Sicherheitslücke enthalten, mit der man Dateien auf den Webserver hochladen kann.

Die Lücke ist in der Datei ofc_upload_image.php. Die Date ofc_upload_image.php gehört zum Diagramm-Modul.

Mit kann man Dateien hochladen. Wie das implementiert ist, kann man hier sehen:

Download Code!

  1. if (!file_exists($default_path)) mkdir($default_path, 0777, true);
  2.  
  3. // full path to the saved image including filename //
  4. $destination = $default_path . basename( $_GET[ 'name' ] );
  5.  
  6. echo 'Saving your image to: '. $destination;
  7.  
  8. $jfh = fopen($destination, 'w') or die("can't open file");
  9. fwrite($jfh, $GLOBALS['HTTP_RAW_POST_DATA']);
  10. fclose($jfh);
  11.  

Das Problem liegt in einmal in der Zeile 4, dort wird eine GET-Parameter ungeprüft in einen Verzeichnispfad gewandelt.

Und das andere ist die Zeile 9, hier kommt der Payload rein...

Beheben lässt sich das Ganze durch löschen - so ist die allgemeine Antwort, denn ein Patch dafür gibt es nicht :-(

Hotfix

Naja damit ihr nicht allein im Regen damit stehen müsst, hier ein echter Hotfix - und dazu noch ungeprüft :-)

Der Patch sollte verhindern, dass eine Datei hochgeladen werden kann, welche sich zum Ausführen von Code missbrauchen lässt.

Ziemlich drity, sollte aber im ersten Moment ausreichen:

Download Code!

  1. if (!file_exists($default_path)) mkdir($default_path, 0777, true);
  2. //Hotfix Mr. Foo - untested, be carefull
  3. if(preg_match('#\.(?:php(?:\d)*|phtml)(?:$|\.|\?| )#im', $_GET['name')) {
  4.   die('You are bad...');
  5. }
  6. // full path to the saved image including filename //
  7.  
  8. $destination = $default_path . basename( $_GET[ 'name' ] );
  9.  
  10. echo 'Saving your image to: '. $destination;
  11.  
  12. $jfh = fopen($destination, 'w') or die("can't open file");
  13. fwrite($jfh, $GLOBALS['HTTP_RAW_POST_DATA']);
  14. fclose($jfh);
Bewertung: 3 von 5, 2 Stimme(n) 986 Klicks
,
Von Mr.Foo in PHP am 13.09.10@23:30 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

0 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden