Összefoglaló
Több sérülékenységet fedeztek fel LxLabs termékekben, amiket kihasználva, rosszindulatú, helyi felhasználók érzékeny információkat szerezhetnek, bizonyos adatokat manipulálhatnak, rosszindulatú felhasználók megkerülhetik a biztonsági előírásokat, vagy akár feltörhetik az érintett rendszert, valamint támadók cross-site scripting (XSS) és SQL befecskendezéses támadást indíthatnak.
Leírás
Több sérülékenységet fedeztek fel LxLabs termékekben, amiket kihasználva, rosszindulatú, helyi felhasználók érzékeny információkat szerezhetnek, bizonyos adatokat manipulálhatnak, rosszindulatú felhasználók megkerülhetik a biztonsági előírásokat, vagy akár feltörhetik az érintett rendszert, valamint támadók cross-site scripting (XSS) és SQL befecskendezéses támadást indíthatnak.
- Egy a userid-k kezelésében lévő hiba nem biztonságos file jogosultságokat eredményez, pl. az ideiglenes file-ok esetében.
- Amikor a kloxóval egy felhasználói fiókot hoznak létre, a jelszó hash megjelenik a folyamat listában.
- A display.php-ben lévő “frm_action” és “frm_o_cname” változóknak átadott paraméterek nincsenek megfelelően megtisztítva, mielőtt visszakerülnének a felhasználóhoz. Ezt kihasználva, tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngészőjében, az érintett oldal vonatkozásában.
- A 7778-as porton keresztüli bejelentkezés esetén a felhasználónév nincs megfelelően megtisztítva, mielőtt a naplófájlok írásakor használnák, root jogosultsággal. Ezt kihasználva, kombinálva egy symlink alapú támadással, tetszőleges fájl tartalmát lehet bővíteni.
- Különböző hibák miatt, pl a felhasználói fiókok létrehozásakor vagy aldomain hozzáadásakor, symlink támadással egybekötve, meg lehet változtatni tetszőleges fájl hozzáférési jogosultságait.
- Egy FTP felhasználók létrehozásakor fellépő hibát kihasználva, symlink támadással meg lehet szerezni tetszőleges file tulajdonosi jogát.
- Az “InstallApp” eszköz használatakor fellépő hibát kihasználva, symlink támadással tetszőleges fájlt lehet felülírni.
- A domain managementben fellépő hibát kihasználva, könyvtár bejárásos támadással tetszőleges könyvtárakat lehet létrehozni, vagy meg lehet szerezni a könyvtárak tulajdonosi jogát.
- A “Backup Home” eszközben lévő bemenet ellenőrzési hiba miatt, tetszőleges kódot lehet befecskendezni, és futtatni root jogosultsággal.
- A “Stats Page Protection” eszköz biztonsági problémája miatt a tárolt jelszó hash-ek egy bárki által olvasható fájlban vannak.
- A “Parked / Redirected Domains” nevű eszköz hibáját kihasználva, symlink alapú támadással felül lehet írni bizonyos fájlokat.
- Kihasználva egy hibát az lxguard bejelentkezési kísérlet kezelésében tetszőleges IP blokkolható.
- A “Protected Directories” eszköz hibáját kihasználva, symlink támadással meg lehet szerezni tetszőleges fájl tulajdonosi jogát.
- A file manager hibáját kihasználva, tetszőleges fájlt lehet megnyitni, szerkeszteni hardlinken keresztül.
- A file manager különböző hibáit kihasználva, symlink támadással új fájlokat lehet létrehozni, felül lehet írni meglévő fájlokat, vagy tetszőleges fájl tulajdonosi jogát lehet megszerezni.
- A index.php “frm_clientname” változójának átadott paraméter, a “Forgot Password” eszköz használata közben, nincs megfelelően megtisztítva, mielőtt használnák. Ezt kihasználva, manipulálni lehet az SQL lekérdezést.
Egyéb problémáknak is van biztonsági kockázatuk, bizonyos körülmények között. Néhány sérülékenység a HyperVM-et is érinti.
Megoldás
Néhány sérülékenységet már javítottak.
Csak a megbízható felhasználók részére engedélyezze a hozzáférést!
Támadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Infrastructure (Infrastruktúra)
Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.daniweb.com
Egyéb referencia: www.milw0rm.com
SECUNIA 35337
Gyártói referencia: forum.lxlabs.com
Egyéb referencia: www.theregister.co.uk