[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
Sicherheitslücke im image_resize Addon? xss? - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
Benutzeravatar
megpro
Beiträge: 74
Registriert: 16. Nov 2006, 13:17
Wohnort: Sassnitz / Rügen

Sicherheitslücke im image_resize Addon? xss?

3. Sep 2012, 18:37

Hallo,

ich weiß nicht genau, was dort passiert aber es dürfte bei jeder älteren Redaxo-Installation der Fall sein die das image_resize Addon verwendet. Habs bei mehreren Installationen getestet.

wenn man die URL z.B. wie folgt eingibt:

http://www.domainname.de/index.php?rex_ ... eber%3E%20!

wird die Ausgabe manipuliert. (aktiviertes image_resize Addon vorausgesetzt)

Ich weiß, dass das Addon ein Auslaufmodell ist und durch dem Manager ersetzt wurde. Trotzdem gibt es genug ältere Seiten, die es noch benutzen. Und die alle zu aktualisieren und die Module anzupassen ist kein unerheblicher Spaß.

hat jemand eine Ahnung, was dort passiert, wie man es verhindern kann und ob es ein Sicherheitsrisiko (xss) darstellt? So zumindest behauptet es der Kunde und der ist im Moment alles andere als Entspannt.

Gruß Jens
Rügen...

Benutzeravatar
Markus.Lorch
Beiträge: 682
Registriert: 21. Okt 2007, 17:22
Wohnort: Walheim

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 00:01

Ich seh da keine sicherheitslücke. Das ist nur ein bischen Spielerei. Meiner Meinung nach absolut unbedenklich.
Grüße,
Markus Lorch

Tschüssle sagt Herr Nüssle

dave.mecha
Beiträge: 24
Registriert: 25. Nov 2007, 21:08
Wohnort: Magdeburg
Kontaktdaten: Website

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 11:03

diese antwort ist echt mal #fail!!! - eine gute antwort wäre ein patch gewesen!
Weltbilder entstehen im Kopf
[ externes Bild ]

Cobalt60
Beiträge: 129
Registriert: 15. Nov 2007, 16:17
Wohnort: Norddeutschland

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 11:33

"... Kunde und der ist im Moment alles andere als Entspannt ..."

Unschöne Situation - kannst Du denn nicht bei diesm Projekt kurzfristig auf den Image Manager wechseln?

Benutzeravatar
Markus.Lorch
Beiträge: 682
Registriert: 21. Okt 2007, 17:22
Wohnort: Walheim

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 12:51

dave.mecha hat geschrieben:diese antwort ist echt mal #fail!!! - eine gute antwort wäre ein patch gewesen!
Wenn, dann war es Deine Antwort, denn wie ich lese hast Du ja auch keinen Patch gepostet. Komisch...

Ich Stufe das Problem weiterhin als unbedenklich ein - was nicht bedeutet, dass es keinen Patch geben wird (was nicht in meinen Händen liegt). Bis dahin gibt es aus meiner Sicht keinen Grund zur Panik, denn die Möglichkeiten die Lücke praktisch auch zu nutzen sind äußerst gering. Ein ernsthaftes Sicherheitsproblem sieht anders aus.
Grüße,
Markus Lorch

Tschüssle sagt Herr Nüssle

Benutzeravatar
jdlx
Beiträge: 2615
Registriert: 29. Sep 2005, 10:50
Wohnort: Hamburg
Kontaktdaten: Website

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 13:26

Testet doch mal ob das auch fürs rex_resize plugin des ImageManager EP gilt..
falls nicht -> den benutzen,
falls auch -> den patchen, denn das macht imho mehr Sinn als noch am original image_resize Addon..
vg, Jan

Benutzeravatar
Gregor.Harlan
Entwickler
Beiträge: 1130
Registriert: 4. Jun 2007, 10:35
Wohnort: Frankfurt am Main

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 13:29

Patch: https://github.com/redaxo/redaxo4/commi ... adcc1ba587

Im Image Manager besteht das Problem auch, da allerdings nur, wenn man im Backend eingeloggt ist.

Gruß, Gregor
Friends Of REDAXO: Gemeinsame REDAXO-Entwicklung!

Benutzeravatar
megpro
Beiträge: 74
Registriert: 16. Nov 2006, 13:17
Wohnort: Sassnitz / Rügen

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:12

Hallo Ihr Lieben,

schön, dass es euer Interesse geweckt hat ;-)

ImageManager EP lässt sich im Moment nicht downloaden (nicht erreichbar) - muss ich später mal testen.

Der Patch von Gregor verändert schon mal die Art der manipulierten Ausgabe. Aber ausgegeben wird der "aber nich sooo mein Lieber" Text trotzdem noch jedoch ohne HTML-Code.

ich habe jetzt einfach die Fileanzeige komplett entfernt, also

print 'Error: Imagefile does not exist - '. $imagefile; bzw.
print 'Error: Imagefile does not exist - '. htmlspecialchars($imagefile);

geändert in:
print 'Error: Imagefile does not exist';

dann wird zwar der Dateiname nicht angezeigt, aber es erfolgt auch keine unerwünschte Ausgabe mehr.

könnte dieses Problem noch an anderer Stelle auftreten?

Gruß Jens
Rügen...

Benutzeravatar
Markus.Lorch
Beiträge: 682
Registriert: 21. Okt 2007, 17:22
Wohnort: Walheim

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:20

megpro hat geschrieben:Der Patch von Gregor verändert schon mal die Art der manipulierten Ausgabe. Aber ausgegeben wird der "aber nich sooo mein Lieber" Text trotzdem noch jedoch ohne HTML-Code.
Und wo liegt da jetzt noch das Problem? Wenn es eine Datei Namens "aber nich sooo mein Lieber" nicht gibt, ist die Fehlermeldung doch zu 100% korrekt. ;)

Vorher mit erlaubter HTML Ausgabe war es ja (wenn auch sehr konstruiert) immerhin eine kleine Lücke, aber so kann wirklich nix mehr passieren. Das was Du hier als Problem siehst kann überall passieren bei dem Benutzereingaben zu irgend einer Form von Ausgabe führen.
Grüße,
Markus Lorch

Tschüssle sagt Herr Nüssle

Cobalt60
Beiträge: 129
Registriert: 15. Nov 2007, 16:17
Wohnort: Norddeutschland

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:25

Kann es sein, daß Du die entscheidende Information überlesen hast, Markus?

"... der Kunde und der ist im Moment alles andere als Entspannt. ..."

Benutzeravatar
megpro
Beiträge: 74
Registriert: 16. Nov 2006, 13:17
Wohnort: Sassnitz / Rügen

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:34

Hi,

genau. Kunde zufrieden - alles gut.

Das es mit großer Wahrscheinlichkeit kein Sicherheitsrisiko darstellt ist erstmal nicht wichtig. Was er nicht sieht, macht Ihn nicht heiß.

Ich glaube die haben seit einem Jahr nichts anderes zu tun, als Ihre eigene Homepage nach Sicherheitslücken zu untersuchen.

Gruß Jens
Rügen...

Benutzeravatar
jdlx
Beiträge: 2615
Registriert: 29. Sep 2005, 10:50
Wohnort: Hamburg
Kontaktdaten: Website

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:36

megpro hat geschrieben:ImageManager EP lässt sich im Moment nicht downloaden (nicht erreichbar) - muss ich später mal testen.
Server liegt grad - und die nächsten 3 Wochen - im Auto ;) ich muß mal die DLs anpassen.. ansonst hier: https://github.com/jdlx/image_manager_ep
vg, Jan

Benutzeravatar
Markus.Lorch
Beiträge: 682
Registriert: 21. Okt 2007, 17:22
Wohnort: Walheim

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:40

Cobalt60 hat geschrieben:Kann es sein, daß Du die entscheidende Information überlesen hast, Markus?
Nein die hab ich nicht. Aber vielleicht hast du ja meine Antwort überhaupt nicht gelesen...

Das ist kein Fehler, das ist so gewollt. Wenn jemand "pornoking.jpg" als Dateinamen im image_resize eingibt und die Fehlermeldung "Error: Imagefile does not exist - pornoking.jpg" ergibt, dann mag das vielleicht für den Kunden ein böses Wort sein, entspricht aber der Wahrheit. Wo liegt hier das Problem...

Spätestens seit Gregors Patch macht die Ausgabe genau das was sie soll. Da ist keine Sicherheitslücke mehr, da ist nur ein Satz der den Tatsachen entspricht. Wenn der Kunde jetzt noch nicht entspannt ist, dann habt ihr was falsch gemacht, denn es ist eure Aufgabe dem Kunden zu erklären, dass hier kein Risiko besteht - und mehr noch: Dass die Ausgabe genau das macht was die Entwickler wollten.
Grüße,
Markus Lorch

Tschüssle sagt Herr Nüssle

Benutzeravatar
jdlx
Beiträge: 2615
Registriert: 29. Sep 2005, 10:50
Wohnort: Hamburg
Kontaktdaten: Website

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:42

Hab grad IMM EP mit rex_resize plugin getestet.. der spuckt ein file not found aus.
vg, Jan

Benutzeravatar
Gregor.Harlan
Entwickler
Beiträge: 1130
Registriert: 4. Jun 2007, 10:35
Wohnort: Frankfurt am Main

Re: Sicherheitslücke im image_resize Addon? xss?

4. Sep 2012, 14:45

Ich gehe davon aus, dass es dem Kunden auch nur um die HTML-Ausgabe ging. Wie Markus schon sagt, ist es doch völlig normal, dass manche Parameter in der Ausgabe landen, sie müssen halt nur gegen XSS etc. abgesichert werden.

Gruß, Gregor
Friends Of REDAXO: Gemeinsame REDAXO-Entwicklung!

Zurück zu „Allgemeines [R4]“