Open Source im professionellen Einsatz

DFN-CERT-2017-1221 GLPi: Mehrere Schwachstellen ermöglichen SQL-Injektionen und das Löschen beliebiger Dateien [Linux][Fedora][Unix][Windows]

14.07.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GLPi < 9.1.5


Betroffene Plattformen:

Unix
GNU/Linux
Microsoft Windows
Red Hat Fedora 25
Red Hat Fedora 26



Ein entfernter, einfach authentisierter Angreifer kann mehrere
Schwachstellen in GLPi 9.1.4 ausnutzen, um beliebigen SQL-Programmcode zu
injizieren. Durch eine weitere Schwachstelle kann der Angreifer beliebige
Dateien auf dem System löschen.

Der Hersteller stellt GLPi 9.1.5 als Sicherheitsupdate zur Verfügung.

Für Fedora 25 und 26 stehen Sicherheitsupdates auf diese Version im Status
'pending' bereit.


Patch:

Fedora Security Update FEDORA-2017-a40590256c (glpi-9.1.5-1.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-a40590256c>

Patch:

Fedora Security Update FEDORA-2017-cc0b92f6c1 (glpi-9.1.5-1.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-cc0b92f6c1>

Patch:

GLPI Release Notes 9.1.5

<https://github.com/glpi-project/glpi/releases/tag/9.1.5>


GLPI-GH-ISSUE-2456: Schwachstelle in GLPi ermöglicht SQL-Injektion

Innerhalb von 'ajax/getDropdownValue.php' in GLPi ist die Liste
'entity_restrict' nicht auf Ganzzahlen beschränkt. Ein entfernter, einfach
authentisierter Angreifer kann über diese Liste beliebigen SQL-Programmcode
injizieren und dadurch Informationen ausspähen, vorhandene Daten
manipulieren und die Verfügbarkeit der betroffenen Datenbank einschränken.


GLPI-GH-ISSUE-2451: Schwachstelle in GLPi ermöglicht SQL-Injektion

Im Zusammenhang mit der Funktion 'Html::cleanPostForTextArea' in
'inc/ticket.class.php' in GLPi kann ein entfernter, einfach authentisierter
Angreifer in 'ajax/common.tabs.php' beliebigen SQL-Programmcode injizieren
und dadurch Informationen ausspähen, Daten manipulieren und die
Verfügbarkeit der Datenbank einschränken.


CVE-2017-11184: Schwachstelle in GLPi ermöglicht SQL-Injektion

Innerhalb von 'front/devicesoundcard.php' in GLPi besteht die Möglichkeit
zur Injektion von beliebigen SQL-Kommandos, da der Parameter 'start' in
'inc/search.class.php' nicht auf Ganzzahlen beschränkt ist, wie es die Logik
des Programms eigentlich vorgibt. Ein entfernter, einfach authentisierter
Angreifer kann über diesen Parameter beliebigen SQL-Programmcode injizieren
und dadurch Informationen ausspähen, vorhandene Daten manipulieren und die
Verfügbarkeit der betroffenen Datenbank einschränken.


CVE-2017-11183: Schwachstelle in GLPi ermöglicht Manipulation von Dateien

Aufrgund einer fehlenden Prüfung für einen angegebenen Dateipfad in
'front/backup.php' lassen sich beliebige Dateien von einem entfernten,
einfach authentisierten Angreifer löschen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1221/>

Fedora Security Update FEDORA-2017-a40590256c (glpi-9.1.5-1.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-a40590256c>

Fedora Security Update FEDORA-2017-cc0b92f6c1 (glpi-9.1.5-1.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-cc0b92f6c1>

GLPI Release Notes 9.1.5:
<https://github.com/glpi-project/glpi/releases/tag/9.1.5>

GLPI Github Issue #2449 (CVE-2017-11184):
<https://github.com/glpi-project/glpi/issues/2449>

GLPI Github Issue #2450 (CVE-2017-11183):
<https://github.com/glpi-project/glpi/issues/2450>

GLPI Github Issue #2451:
<https://github.com/glpi-project/glpi/issues/2451>

GLPI Github Issue #2456:
<https://github.com/glpi-project/glpi/issues/2456>

Schwachstelle CVE-2017-11183 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11183>

Schwachstelle CVE-2017-11184 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11184>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.