Váno??ní bezpe??nostní nadílka : podvržení PHP kódu


Bezpe??nostní díra

V ??em je problém? P?i editování wiki stránky se žádným zp?sobem neov??uje, zda je soubor, který pomocí formulá?e nahráváme na server, skute??n? obrázkem. Pak m?že kdokoliv s možností uploadovat obrázky, nahrát místo obrázku jakýkoliv PHP skript a spustit jej p?ímo ze stromové struktury Tikiwiki, p?esn?ji z img/wiki_up/ adresá?e. Abychom ?ekli pravdu, tak tato díra je docela triviální, hloupou a b?žnou chybou. Je docela udivující, že si toho ješt? nikdo nevšiml a neopravil tuto chybu již d?ive.


Jak se toho zbavit ?

Co nejd?íve se pus?te do oprav !

Zkontrolujte stav Vašeho Tikiwiki


Hledejte soubory s p?iponami .php, .php3, .php4 nebo .phtml ve Vašem img/wiki_up (nebo img/wiki_up/$tikidomain/ v p?ípad? MultiTiki) adresá?i. M?žete použít následující jedno?ádkové p?íkazy pro jejich odhalení (funguje i s MultTiki)

§cbdebd6b6e9c004bcd8ad303ecc79dc4§

Zkontrolujte logovací soubory Vašeho Apache (serveru)


Abyste si ov??ili, jestli n?kdo už nezneužil této chyby k propašování nežádoucího PHP souboru na server, m?žete "grepnout" Vaše logy (pokud m?žete použít p?íkaz grep).

§4b5a50377e44b4bf39b08615d83a1f3d§

p?ípadn? pokud jsou Vaše logy tzv. "rotated" a m?žete použít p?íkaz zgrep

§e01c634a7b850be812d7aa5071e25425§

Aplikujte opravu


Nejrychlejší první pomocí je zakázat možnost p?idávat k wiki stránkám obrázky - jde o zaškrtávací pole "Obrázky" v panelu pro správu Wiki (/tiki-admin.php?page=wiki).

Alternativn? lze omezit nahrávání obrázk? pro wiki stránky na skupinu lidí, které d?v??ujete, nastavením tiki_p_upload_picture práv na stránce Admin -> Skupiny.

Avšak pro skute??nou nápravu je pot?eba upgrade nebo patch/editace souboru tiki-editpage.php :

  • CVS uživatelé :
    Pouze sta??í updatovat Vaši sou??asnou verzi; oprava je již k dispozici ve všech v?tvích od 1.7.x do 1.10
    cvs -q update -dP

  • Ostatní :
    P?idejte následující ?ádek do souboru tiki-editpage.php
    §9dfb7ed0052ec5faa1dbadeeb1f23188§

    p?esn? o ?ádek výše, než ?ádek obsahující
    §05cb69ba857f8354f24df5a256ed93ff§
    • ve verzi 1.7.x na ?ádku 106
    • ve verzi 1.8.x na ?ádku 138
    • ve verzi 1.9rcx na ?ádku 173 a 181
    • ve verzi 1.10 na ?ádku 172

Cesta systémového administrátora

Další alternativou (nebo návdavkem) k upgrade/patchi tohoto souboru je možnost zm?nit chování serveru p?i parsování PHP soubor? v img/ adresá?i.

  • Pokud používáte jako server Apache, avšak nemáte p?ístup ke globálnímu konfigura??nímu souboru, vytvo?te .htaccess soubor v img/wiki_up obsahující
    §e296ab6908d054641a9028e3e5213b5f§

    pokud to nepom?že, požádejte Vašeho správce serveru o aktivaci všemocných .htaccess soubor? s pomocí
    §b3372b84fe1450a28c4b8451ab73ca4c§

    v Directory direktiv? pro Váš Tikiwiki strom adresá??. Pozn.: Pokud používáte multi-tiki instalaci, bude pot?eba p?idat .htaccess do každého img/wiki_up/$tikidomain podadresá?e.

  • pokud máte možnost zm?nit Váš Apache conf jelikož jej spravujete, p?idejte
    §b3310645850b87b86e280fdd92160c62§

    kde je pot?eba upravit cestu pro adresá?, kde je umíst?n Váš img/ dir.

    Ob? výše uvedené metody pouze blokují p?ístup k php soubor?m v img/dir, ale m?li byste také pamatovat na .pl, .vb a jiné koncovky, pokud Vaše globální nastavení serveru povoluje spoušt?ní t?chto skript?/rozší?ení pro jiné preprocesory.


Nová vydání Tikiwiki jsou v p?íprav?


V každé z v?tví (u vydávaných verzí) bude k dispozici nová verze b?hem n?kolika málo následujících dní, jmenovit? 1.7.9, 1.8.5 and 1.9dr4. Pokud jste nezkusili n?kterou z uvedených možností

m?li byste upgradovat tak brzy, jak jen to bude možné !

P?ipomínáme, že vždy m?žete upozornit team Tikiwiki vývojá?? zabývajících se bezpe??ností Tikiwiki na e-mailové adrese securityzaviná??tikiwiki.org


za bezpe??nostní partu lidí kolem Tikiwiki, mose