Zwei Schwachstellen im quelloffenen Kollaborationswerkzeug TWiki der Versionen bis 4.2.3 können dazu ausgenutzt werden, beliebigen Shellcode auf dem beherbergenen System mit den Privilegien des Webservers auszuführen bzw. im Rahmen eines Cross-Site-Scripting-Angriffes beliebigen JavaScript-Code in die angezeigten Webseiten einzschleusen.

Inhalt

• Betroffene Systeme
• Nicht betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Beschreibung
• Gegenmaßnahmen
• Vulnerability ID
• Weitere Information zu diesem Thema

Betroffene Systeme

• CVE-2008-5305:
  
  • TWiki 4.2.3
  • TWiki 4.2.2
  • TWiki 4.2.1
  • TWiki 4.2.0
  • TWiki 4.1.2
  • TWiki 4.1.1
  • TWiki 4.1.0
  • TWiki 4.0.5
  • TWiki 4.0.4
  • TWiki 4.0.3
  • TWiki 4.0.2
  • TWiki 4.0.1
  • TWiki 4.0.0
  • frühere Versionen
• CVE-2008-5304:
  
  • TWiki 4.2.3
  • TWiki 4.2.2
  • TWiki 4.2.1
  • TWiki 4.2.0
  • TWiki 4.1.2
  • TWiki 4.1.1
  • TWiki 4.1.0
  • TWiki 4.0.5
  • TWiki 4.0.4
  • TWiki 4.0.3
  • TWiki 4.0.2
  • TWiki 4.0.1
  • TWiki 4.0.0
  • frühere Versionen

Nicht betroffene Systeme

• CVE-2008-5305:
  
  • TWiki 4.2.4
• CVE-2008-5304:
  
  • TWiki 4.2.4

Einfallstor

• CVE-2008-5305:
  Port 80/tcp (je nach Konfiguration des beherbergenden Webservers ggf. auch ein anderer Port
  • Edieren von Wiki-Seiten
  • HTTP GET Requests an den beherbergenden Webserver
• CVE-2008-5304:
  Port 80/tcp (je nach Konfiguration des beherbergenden Webservers ggf. auch ein anderer Port
  • Edieren von Wiki-Seiten
  • HTTP GET Requests an den beherbergenden Webserver

Angriffsvoraussetzung

• CVE-2008-5305:
  Sofern kein unauthentifizierter Zugriff erlaubt ist: gültige Authentifizierungsdaten (ggf. auch anonyme TWikiGuest-Konten)
  (user credentials)
• CVE-2008-5304:
  Sofern kein unauthentifizierter Zugriff erlaubt ist: gültige Authentifizierungsdaten (ggf. auch anonyme TWikiGuest-Konten)
  (user credentials)

Angriffsvektorklasse

• CVE-2008-5305:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-5304:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-5305:
  Ausführung beliebigen Shell-Codes (Programmcodes) auf dem beherbergenden System mit den Privilegien des beherbergenden Webservers
  (user compromise)
• CVE-2008-5304:
  Ausführung beliebigen JavaScript-Codes auf den beherbergenden Systemen anderer TWiki-Benutzer mit den Privilegien des jeweiligen Browsers
  (user compromise)

Typ der Verwundbarkeit

• CVE-2008-5305:
  Entwurfsfehler
  (design flaw)
• CVE-2008-5304:
  cross site scripting Schwachstelle
  (cross site scripting vulnerability)

Gefahrenpotential

• CVE-2008-5305:
  hoch
• CVE-2008-5304:
  mittel

Beschreibung

• CVE-2008-5305:
  Eine Schwachstelle im quelloffenen Kollaborationswerkzeug TWiki kann von einem Angreifer mittels des Senden von HTTP GET-Requests bzw. des Edierens von Wiki-Seiten dazu ausgenutzt werden, beliebigen Shell-Code (und damit Programmcode) auf dem beherbergenden System mit den Privilegien des TWiki beherbergenden Webservers auszuführen. Dazu ist es erforderlich, dass der Angreifer über einen gültigen Berechtigungsnachweis (auch "Credentials") eines für diese Aktionen autorisierten Benutzers verfügt, um sich ordnungsgemäß autentisieren zu können. Viele Wikis sind jedoch so konfiguriert, dass sie das Edieren über ein anonymes Gast-Konto zulassen, für das ein bekanntes oder kein Passwort erforderlich ist, oder sie lassen die Registrierung von Benutzern zu, die unter falschem Namen erfolgen kann. So kann diese Schwachstelle leicht anonym und ohne die recht hohe Hürde, im Besitz gültiger Credentials sein zu müssen, ausgenutzt werden.

  Üblicherweise ist dies im Falle von apache der unprivilegierte Benutzer nobody, jedoch kann dieser Umstand ggf. subsequent durch lokal ausnutzbare Schwachstellen auf dem beherbergenden Rechnersystem dazu ausgenutzt werden, administrative Privilegien zu erlangen und so das Rechnersystem mittelbar zu kompromittieren.

  Aus diesem Grund wird die Installation der bzw. die Aktualisierung vorhandener Installationen auf TWiki 4.2.4 empfohlen.

• CVE-2008-5304:
  Eine cross site scripting Schwachstelle im quelloffenen Kollaborationswerkzeug TWiki kann von einem Angreifer mittels des Senden von HTTP GET-Requests bzw. des Edierens von Wiki-Seiten dazu ausgenutzt werden, beliebigen JavaScript-Code so auf dem beherbergenden Webserver einzuschleusen, dass er in angezeigte Seiten eingebettet wird. Diese werden anderen TWiki-Benutzern angezeigt und in deren Browsern ausgeführt.

  Zur erfolgreichen Ausnutzung der Schwachstelle ist es erforderlich, dass der Angreifer über einen gültigen Berechtigungsnachweis (aka "Credentials") eines für diese Aktionen autorisierten Benutzers verfügt, um sich ordnungsgemäß autentisieren zu können. Viele Wikis sind jedoch so konfiguriert, dass sie das Edieren über ein anonymes Gast-Konto zulassen, für das ein bekanntes oder kein Passwort erforderlich ist, oder sie lassen die Registrierung von Benutzern zu, die unter falschem Namen erfolgen kann. So kann diese Schwachstelle leicht anonym und ohne die recht hohe Hürde, im Besitz gültiger Credentials sein zu müssen, ausgenutzt werden.

Gegenmaßnahmen

• CVE-2008-5305:
  Installation bzw. Update auf TWiki 4.2.4
• CVE-2008-5304:
  Installation bzw. Update auf TWiki 4.2.4

Vulnerability ID

• CVE-2008-5305
• CVE-2008-5304

Weitere Information zu diesem Thema

• CVE-2008-5305:
  Security Alert: TWiki SEARCH variable allows arbitrary shell command execution
• CVE-2008-5304:
  Security Alert: Cross-site scripting vulnerability with TWiki URLPARAM variable
• TWiki Homepage

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/