No resumo desta semana, iremos discutir:
- uma vulnerabilidade XSS em phpMyAdmin drag-and-drop upload;
- uma vulnerabilidade de buffer overflow na biblioteca de digitalização da ClamAV; e
- um bug de contrabando de conteúdo HTTP em HAProxy.
Vulnerabilidade do XSS no carregamento do phpMyAdmin drag-and-drop
Um utilizador anónimo descobriu uma vulnerabilidade de Cross-Site Scripting (XSS) na funcionalidade de carregamento do phpMyAdmin. Esta vulnerabilidade permite a um utilizador autenticado desencadear XSS carregando um ficheiro .sql maliciosamente criado na interface drag-and-drop do phpMyAdmin.
A vulnerabilidade do carregamento por arrastar e largar do XSS impacta os utilizadores do phpMyAdmin que instalaram versões antes da 4.9.11 e 5.x antes da 5.2.1. O phpMyAdmin lançou as versões 4.9.11 e 5.2.1 para remediar esta vulnerabilidade. No entanto, como factor de mitigação, os utilizadores podem desactivar a directiva de configuração $cfg['enable_drag_drop_import'], que desactiva a funcionalidade drag-and-drop e protege os utilizadores contra a vulnerabilidade.
O carregamento por arrastar e largar da vulnerabilidade XSS - registada como CVE-2023-25727 - foiclassificado como 5,4 médio na pontuação CVSS pelo NIST devido ao baixo impacto na confidencialidade e integridade. Um ataque bem sucedido pode levar a uma escalada de privilégios, contornando as verificações de permissão de credenciais do kernel.
Vulnerabilidade do buffer de varredura de partições ClamAV HFS+
A 15 de Fevereiro de 2023, foi revelada uma vulnerabilidade na biblioteca de digitalização da ClamAV. O analisador de ficheiros de partição HFS+ das versões 1.0.0 e anteriores do ClamAV, 0.105.1 e anteriores, e 0.103.7 e anteriores, têm uma vulnerabilidade de segurança que poderia permitir a um atacante remoto não autenticado executar um código arbitrário num sistema alvo.
A vulnerabilidade resulta de uma verificação do tamanho do buffer em falta no analisador de ficheiros da partição HFS+, o que poderia resultar numa escrita de excesso de buffer de pilha. Quando um utilizador submete um ficheiro de partição HFS+ trabalhado para ser digitalizado pelo ClamAV num dispositivo afectado, o motor pode tentar ler e processar o ficheiro, desencadeando a vulnerabilidade. Um atacante pode tirar partido desta vulnerabilidade enviando um ficheiro de partição HFS+ especialmente criado para um sistema vulnerável.
Uma vez que o ficheiro é digitalizado pelo ClamAV, o motor tenta processar o ficheiro, o que pode levar à execução de código arbitrário pelo atacante. Isto pode resultar em que o atacante obtenha acesso não autorizado ao sistema, roubando dados sensíveis, ou instalando malware. Além disso, o atacante pode também causar a falha do processo de scan ClamAV, resultando numa condição de negação de serviço (DoS), o que poderia perturbar as operações normais do sistema alvo.
O software ClamAV lançou o ClamAV 0.103.8, 0.105.2, e 1.0.1, que deve incluir correcções para a vulnerabilidade.
A vulnerabilidade foi registada como CVE-2023-20032 e foi classificada como 9,8 crítica na pontuação CVSS pela Cisco devido ao elevado impacto na confidencialidade, integridade, e disponibilidade.
Bug de contrabando de conteúdo HTTP em HAProxy
Uma equipa de investigação de segurança do Nordeste, Akamai Technologies e Google descobriram um bug no processamento de cabeçalhos HAProxy; quando explorado, o bug pode permitir um ataque de contrabando de conteúdo HTTP. O mantenedor do HAProxy, Willy Tarreau, relatou esta vulnerabilidade. HAProxy é um equilibrador de carga de código aberto e uma ferramenta de proxy invertido para aplicações HTTP e TCP.
A vulnerabilidade foi encontrada no processamento de cabeçalho do HAProxy. É explorada por um pedido HTTP maliciosamente elaborado que poderia desencadear a queda de campos de cabeçalho importantes após a análise. Isto poderia criar pedidos adicionais ao servidor e permitir que pedidos subsequentes contornassem filtros HAProxy, dando a um atacante acesso a conteúdo restrito, a capacidade de contornar a autenticação URL, ou outros fins maliciosos.
Tarreau confirmou que quase todas as versões HAProxy foram afectadas pela vulnerabilidade, incluindo as versões HTX-aware 2.0 e superiores e as versões não-HTX 1.9 e anteriores ou a versão 2.0 em modo legado.
Depois de confirmar a vulnerabilidade, Tarreau lançou uma correcção em todas as versões HAProxy, incluindo 2.8-dev4, 2.7.3, 2.6.9, 2.5.12, 2.4.12, 2.2.29, e 2.0.31. Tarreau recomenda que os utilizadores de HAProxy actualizem para a versão corrigida do seu ramo relevante como a melhor prática para se manterem protegidos. Se as actualizações imediatas não forem possíveis, Tarreau partilhou uma solução que rejeita pedidos que tentam desencadear o bug com um erro 403. No entanto, esta solução não garante uma mitigação total; por conseguinte, a actualização para uma versão corrigida é finalmente recomendada.
Esta vulnerabilidade foi registada como CVE-2023-25725 e foi classificada como 9,1 crítica na pontuação CVSS pelo NIST devido ao elevado impacto na integridade e disponibilidade.
Comentários