In der Zusammenfassung dieser Woche werden wir diskutieren:
- eine XSS-Schwachstelle im Drag-and-Drop-Upload von phpMyAdmin;
- eine Pufferüberlaufschwachstelle in der ClamAV-Scan-Bibliothek und
- einen HTTP-Content-Schmuggel-Fehler in HAProxy.
XSS-Schwachstelle in phpMyAdmin Drag-and-Drop-Upload
Ein anonymer Benutzer entdeckte eine Cross-Site Scripting (XSS)-Schwachstelle in der Upload-Funktion von phpMyAdmin. Diese Schwachstelle ermöglicht es einem authentifizierten Benutzer, XSS auszulösen, indem er eine bösartig gestaltete .sql-Datei in der Drag-and-Drop-Schnittstelle von phpMyAdmin hochlädt.
Die Drag-and-Drop-Upload-XSS-Schwachstelle betrifft phpMyAdmin-Benutzer, die Versionen vor 4.9.11 und 5.x vor 5.2.1 installiert haben. phpMyAdmin hat die Versionen 4.9.11 und 5.2.1 veröffentlicht, um diese Schwachstelle zu beheben. Als Abhilfemaßnahme können Benutzer jedoch die Konfigurationsanweisung $cfg['enable_drag_drop_import'] deaktivieren, die die Drag-and-Drop-Funktionalität deaktiviert und die Benutzer vor der Sicherheitslücke schützt.
Die Drag-and-Drop-Upload-XSS-Schwachstelle - registriert als CVE-2023-25727 - wurdevon NIST aufgrund der geringen Auswirkungen auf die Vertraulichkeit und Integrität mit 5,4 mittel bewertet. Ein erfolgreicher Angriff kann eine Privilegienerweiterung durch Umgehung der Berechtigungsprüfungen für Kernel-Anmeldeinformationen durchführen.
ClamAV HFS+ Partition Scanning Pufferüberlauf-Schwachstelle
Am 15. Februar 2023 wurde eine Sicherheitslücke in der ClamAV-Scan-Bibliothek bekannt gegeben. Der HFS+-Partitionsdateiparser von ClamAV Version 1.0.0 und früher, 0.105.1 und früher und 0.103.7 und früher hat eine Sicherheitslücke, die es einem nicht authentifizierten, entfernten Angreifer erlauben könnte, beliebigen Code auf einem Zielsystem auszuführen.
Die Schwachstelle wird durch eine fehlende Prüfung der Puffergröße im HFS+-Partitionsdateiparser verursacht, was zu einem Heap-Pufferüberlauf führen kann. Wenn ein Benutzer eine manipulierte HFS+-Partitionsdatei zum Scannen durch ClamAV auf einem betroffenen Gerät sendet, könnte die Engine versuchen, die Datei zu lesen und zu verarbeiten, wodurch die Sicherheitslücke ausgelöst wird. Ein Angreifer kann diese Sicherheitslücke ausnutzen, indem er eine speziell gestaltete HFS+-Partitionsdatei an ein anfälliges System sendet.
Sobald die Datei von ClamAV gescannt wurde, versucht die Engine, die Datei zu verarbeiten, was zur Ausführung von beliebigem Code durch den Angreifer führen kann. Dies könnte dazu führen, dass sich der Angreifer unbefugten Zugriff auf das System verschafft, sensible Daten stiehlt oder Malware installiert. Außerdem kann der Angreifer den ClamAV-Scanprozess zum Absturz bringen, was zu einem Denial-of-Service (DoS)-Zustand führt, der den normalen Betrieb des Zielsystems unterbrechen kann.
ClamAV Software hat ClamAV 0.103.8, 0.105.2 und 1.0.1 veröffentlicht, die Patches für die Sicherheitslücke enthalten sollten.
Die Sicherheitslücke wurde als CVE-2023-20032 registriert und von Cisco mit 9,8 als kritisch eingestuft, da sie die Vertraulichkeit, Integrität und Verfügbarkeit stark beeinträchtigt.
HTTP-Content-Schmuggel-Fehler in HAProxy
Ein Sicherheitsforschungsteam von Northeastern, Akamai Technologies und Google hat einen Fehler in der Verarbeitung von HAProxy-Headern entdeckt, der einen Angriff zum Einschleusen von HTTP-Inhalten ermöglichen kann. Der Betreuer von HAProxy, Willy Tarreau, meldete diese Sicherheitslücke. HAProxy ist ein Open-Source-Loadbalancer und Reverse-Proxy-Tool für HTTP- und TCP-Anwendungen.
Die Sicherheitslücke wurde in der Header-Verarbeitung von HAProxy gefunden. Sie wird durch eine böswillig gestaltete HTTP-Anfrage ausgenutzt, die dazu führen kann, dass wichtige Header-Felder nach dem Parsen weggelassen werden. Dadurch könnten zusätzliche Anfragen an den Server gestellt und nachfolgende Anfragen die HAProxy-Filter umgehen werden, wodurch ein Angreifer Zugang zu eingeschränkten Inhalten, die Möglichkeit zur Umgehung der URL-Authentifizierung oder andere böswillige Zwecke erhalten könnte.
Tarreau bestätigte, dass fast alle HAProxy-Versionen von der Sicherheitslücke betroffen sind, einschließlich der HTX-fähigen Versionen 2.0 und höher sowie der Nicht-HTX-Versionen 1.9 und früher oder der Version 2.0 im Legacy-Modus.
Nachdem die Schwachstelle bestätigt wurde, veröffentlichte Tarreau einen Fix für alle HAProxy-Versionen, einschließlich 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29 und 2.0.31. Tarreau empfiehlt, dass HAProxy-Benutzer ein Upgrade auf die gepatchte Version des jeweiligen Zweigs durchführen, um geschützt zu sein. Falls ein sofortiges Upgrade nicht möglich ist, hat Tarreau einen Workaround zur Verfügung gestellt, der Anfragen, die den Fehler auszulösen versuchen, mit einem 403-Fehler zurückweist. Dieser Workaround garantiert jedoch keine vollständige Entschärfung des Problems; daher wird letztlich empfohlen, auf eine gepatchte Version zu aktualisieren.
Diese Sicherheitslücke wurde als CVE-2023-25725 registriert und von NIST aufgrund der hohen Auswirkungen auf die Integrität und Verfügbarkeit mit 9,1 als kritisch eingestuft.
Kommentare