REDAXO Forum

Hallo,

ich weiß nicht genau, was dort passiert aber es dürfte bei jeder älteren Redaxo-Installation der Fall sein die das image_resize Addon verwendet. Habs bei mehreren Installationen getestet.

wenn man die URL z.B. wie folgt eingibt:

http://www.domainname.de/index.php?rex_ ... eber%3E%20!

wird die Ausgabe manipuliert. (aktiviertes image_resize Addon vorausgesetzt)

Ich weiß, dass das Addon ein Auslaufmodell ist und durch dem Manager ersetzt wurde. Trotzdem gibt es genug ältere Seiten, die es noch benutzen. Und die alle zu aktualisieren und die Module anzupassen ist kein unerheblicher Spaß.

hat jemand eine Ahnung, was dort passiert, wie man es verhindern kann und ob es ein Sicherheitsrisiko (xss) darstellt? So zumindest behauptet es der Kunde und der ist im Moment alles andere als Entspannt.

Gruß Jens

Ich seh da keine sicherheitslücke. Das ist nur ein bischen Spielerei. Meiner Meinung nach absolut unbedenklich.

diese antwort ist echt mal #fail!!! - eine gute antwort wäre ein patch gewesen!

"... Kunde und der ist im Moment alles andere als Entspannt ..."

Unschöne Situation - kannst Du denn nicht bei diesm Projekt kurzfristig auf den Image Manager wechseln?

dave.mecha hat geschrieben:diese antwort ist echt mal #fail!!! - eine gute antwort wäre ein patch gewesen!

Wenn, dann war es Deine Antwort, denn wie ich lese hast Du ja auch keinen Patch gepostet. Komisch...

Ich Stufe das Problem weiterhin als unbedenklich ein - was nicht bedeutet, dass es keinen Patch geben wird (was nicht in meinen Händen liegt). Bis dahin gibt es aus meiner Sicht keinen Grund zur Panik, denn die Möglichkeiten die Lücke praktisch auch zu nutzen sind äußerst gering. Ein ernsthaftes Sicherheitsproblem sieht anders aus.

Testet doch mal ob das auch fürs rex_resize plugin des ImageManager EP gilt..
falls nicht -> den benutzen,
falls auch -> den patchen, denn das macht imho mehr Sinn als noch am original image_resize Addon..

Patch: https://github.com/redaxo/redaxo4/commi ... adcc1ba587

Im Image Manager besteht das Problem auch, da allerdings nur, wenn man im Backend eingeloggt ist.

Gruß, Gregor

Hallo Ihr Lieben,

schön, dass es euer Interesse geweckt hat

ImageManager EP lässt sich im Moment nicht downloaden (nicht erreichbar) - muss ich später mal testen.

Der Patch von Gregor verändert schon mal die Art der manipulierten Ausgabe. Aber ausgegeben wird der "aber nich sooo mein Lieber" Text trotzdem noch jedoch ohne HTML-Code.

ich habe jetzt einfach die Fileanzeige komplett entfernt, also

print 'Error: Imagefile does not exist - '. $imagefile; bzw.
print 'Error: Imagefile does not exist - '. htmlspecialchars($imagefile);

geändert in:
print 'Error: Imagefile does not exist';

dann wird zwar der Dateiname nicht angezeigt, aber es erfolgt auch keine unerwünschte Ausgabe mehr.

könnte dieses Problem noch an anderer Stelle auftreten?

Gruß Jens

megpro hat geschrieben:Der Patch von Gregor verändert schon mal die Art der manipulierten Ausgabe. Aber ausgegeben wird der "aber nich sooo mein Lieber" Text trotzdem noch jedoch ohne HTML-Code.

Und wo liegt da jetzt noch das Problem? Wenn es eine Datei Namens "aber nich sooo mein Lieber" nicht gibt, ist die Fehlermeldung doch zu 100% korrekt.

Vorher mit erlaubter HTML Ausgabe war es ja (wenn auch sehr konstruiert) immerhin eine kleine Lücke, aber so kann wirklich nix mehr passieren. Das was Du hier als Problem siehst kann überall passieren bei dem Benutzereingaben zu irgend einer Form von Ausgabe führen.

Kann es sein, daß Du die entscheidende Information überlesen hast, Markus?

"... der Kunde und der ist im Moment alles andere als Entspannt. ..."

Hi,

genau. Kunde zufrieden - alles gut.

Das es mit großer Wahrscheinlichkeit kein Sicherheitsrisiko darstellt ist erstmal nicht wichtig. Was er nicht sieht, macht Ihn nicht heiß.

Ich glaube die haben seit einem Jahr nichts anderes zu tun, als Ihre eigene Homepage nach Sicherheitslücken zu untersuchen.

Gruß Jens

megpro hat geschrieben:ImageManager EP lässt sich im Moment nicht downloaden (nicht erreichbar) - muss ich später mal testen.

Server liegt grad - und die nächsten 3 Wochen - im Auto ;) ich muß mal die DLs anpassen.. ansonst hier: https://github.com/jdlx/image_manager_ep

Cobalt60 hat geschrieben:Kann es sein, daß Du die entscheidende Information überlesen hast, Markus?

Nein die hab ich nicht. Aber vielleicht hast du ja meine Antwort überhaupt nicht gelesen...

Das ist kein Fehler, das ist so gewollt. Wenn jemand "pornoking.jpg" als Dateinamen im image_resize eingibt und die Fehlermeldung "Error: Imagefile does not exist - pornoking.jpg" ergibt, dann mag das vielleicht für den Kunden ein böses Wort sein, entspricht aber der Wahrheit. Wo liegt hier das Problem...

Spätestens seit Gregors Patch macht die Ausgabe genau das was sie soll. Da ist keine Sicherheitslücke mehr, da ist nur ein Satz der den Tatsachen entspricht. Wenn der Kunde jetzt noch nicht entspannt ist, dann habt ihr was falsch gemacht, denn es ist eure Aufgabe dem Kunden zu erklären, dass hier kein Risiko besteht - und mehr noch: Dass die Ausgabe genau das macht was die Entwickler wollten.

Hab grad IMM EP mit rex_resize plugin getestet.. der spuckt ein file not found aus.

Ich gehe davon aus, dass es dem Kunden auch nur um die HTML-Ausgabe ging. Wie Markus schon sagt, ist es doch völlig normal, dass manche Parameter in der Ausgabe landen, sie müssen halt nur gegen XSS etc. abgesichert werden.

Gruß, Gregor