Webalizer — популярный инструмент анализа лог
файлов web-сервера, который выдает сообщения
в HTML-формате. Некоторые версии webalizer
содержат два недостатка, которые могут
позволять злонамеренному пользователю
вставлять неподконтрольные данные в
сгенерированные сообщения. Это может
использоваться, чтобы выполнить сценарии в
контексте защиты рассматриваемого сайта.
При некоторых условиях, эти недостатки
могут позволять злонамеренному
пользователю выполнять команды
дистанционно на Web-сервере, где эти
сообщения сохранены. 

Список ниже суммирует недостатки, которые
могут эксплуатироваться злонамеренным
пользователем, чтобы ввести HTML-теги в
сообщения webalizer. После введения,
злонамеренные данные будут обработаны, как
только жертва просмотрит
скомпрометированное сообщение. 

1. Тэги в именах хоста 

Программа webalizer вслепую доверяет данным,
возвращенным распознавательной
библиотекой операционной системы, при
выполнении обратного определения адресов.
Злонамеренный пользователь, который имеет
контроль над зоной отображения адресов DNS,
может установить адрес с PTR-записью,
указывающим на имя, содержащее HTML-тэги, и
затем обратится к Web-серверу, на котором
выполняется webalizer. Когда программа webalizer
считывает файлы регистрации, адрес,
зарегистрированный в них, распознается к
имени, содержащему HTML-тэги, которые будут
вставлены в сгенерированные HTML-сообщения.
Обратите внимание, что число систем,
уязвимых к этому недостатку, может быть
небольшим, поскольку наиболее современные
распознавательные библиотеки отказываются
возвращать имена хоста, содержащие
метасимволы HTML. 

2. Тэги в ключевых словах поиска

Программа webalizer имеет способность
синтаксического анализа содержания HTTP referrer.
Собранные данные сравниваются со списком
механизма поиска URL, так, чтобы программа
могла представлять слова, которые
используются при анализе сайта. К сожалению,
извлеченные ключевые слова хранятся не
модифицированными в сгенерированных HTML
файлах — это позволяет злонамеренному
пользователю вставлять тэги
непосредственно в сообщения, соединяясь с
Web сервером и посылая HTTP заголовок "Referer",
содержащий мета символы HTML. 

Уязвимость найдена в webalizer 2.01-06. Более
ранние версии не тестировались.



Оставить мнение