DFN-CERT-2014-1440 TWiki: Eine Schwachstelle erlaubt das Ausführen beliebigen Programmcodes [Linux]

DFN-CERT-2014-1440 TWiki: Eine Schwachstelle erlaubt das Ausführen beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

TWiki <= 6.0.0 Betroffene Plattformen: GNU/Linux Durch Ausnutzen dieser kritischen Schwachstelle kann ein entfernter, nicht authentisierter Angreifer beliebigen Perl-Programmcode ausführen. Diese Schwachstelle betrifft die folgenden Versionen von TWiki: TWiki-6.0.0 (TWikiRelease06x00x00) TWiki-5.1.x (TWikiRelease05x01x00 to TWikiRelease05x01x04) TWiki-5.0.x (TWikiRelease05x00x00 to TWikiRelease05x00x02) TWiki-4.3.x (TWikiRelease04x03x00 to TWikiRelease04x03x02) TWiki-4.2.x (TWikiRelease04x02x00 to TWikiRelease04x02x04) TWiki-4.1.x (TWikiRelease04x01x00 to TWikiRelease04x01x02) TWiki-4.0.x (TWikiRelease04x00x00 to TWikiRelease04x00x05) TWiki behebt die bereits intensiv ausgenutzte Schwachstelle durch ein Upgrade auf das letzte TWiki Production Release TWiki-6.0.1. Außerdem steht ein Hotfix für TWiki Production Release 6.0.0 zur Verfügung (siehe Workaround). Workaround: Hotfix-Patch den "debugenableplugins"-Parameter zu bereinigen: --- TWiki/Plugins.pm.save1 2014-01-09 02:10:56.000000000 -0500 +++ TWiki/Plugins.pm 2014-10-01 20:30:36.000000000 -0400 @@ -186,8 +186,11 @@ unless( $allDisabled ) { if ( $query && defined( $query->param( ‘debugenableplugins’ ))) {
– @pluginList = split( /[,\s]+/,
– $query->param( ‘debugenableplugins’ ));
+ @pluginList =
+ grep { /Plugin$/ }
+ map { s/[^a-zA-Z0-9]//go; $_ } # Item7558: Sanitize parameter
+ split( /[,\s]+/, $query->param( ‘debugenableplugins’ ));
+
} else {
if( $TWiki::cfg{PluginsOrder} ) {
foreach my $plugin( split( /[,\s]+/,

Patch:

TWiki Security Alert CVE-2014-7236: Remote Perl code execution with query
string to debug TWiki plugins

http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2014-7236

CVE-2014-7236: Schwachstelle in TWiki erlaubt Ausführen beliebigen
Perl-Codes

Eine Schwachstelle in TWiki besteht darin, dass TWiki es erlaubt, dass
bestimmte Plug-Ins für Debugging-Zwecke aktiviert werden können und zwar
mittels eines “debugenableplugins”-Parameters, welcher alle für das
Debugging aktivierten Plugins auflistet. Um ein dynamisches Laden der
Plug-Ins zu ermöglichen, fügt TWiki den Plug-In-Namen in ein
Perl-Evaluierungsstatement ein, ohne den Plug-In-Namen zu bereinigen. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, indem er dem “debugenableplugins”-Parameter einen speziell
präparierten Wert hinzufügt, um beliebigen Perl-Code zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1440/

TWiki Security Alert CVE-2014-7236: Remote Perl code execution with query
string to debug TWiki plugins:
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2014-7236

EGI CSIRT:Alerts/Twiki-2014-10-31:
https://wiki.egi.eu/wiki/EGI_CSIRT:Alerts/Twiki-2014-10-31

Schwachstelle CVE-2014-7236 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7236

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben