| Previous topic :: Next topic |
| Author |
Message |
vTiger.it
Joined: 15 Sep 2006
Posts: 407
Location: Italy
|
| Posted: Thu Jul 31, 2008 11:22 am Post subject: Mini Patch Sicurezza (contro attacchi xss) |
|
|
Questa patch risolve alcuni problemi in vtiger che permettono l'esecuzione arbitraria tramite Cross-Site-Scripting (XSS).
Ecco i passaggi da eseguire per risolvere il problema modificando manualmente il codice, modificando i seguenti files:
* include/utils/CommonUtils.php
(vtiger 5.03->riga 1383 oppure riga 1361/ vtiger 5.04->riga 1413)
sostituire
Code: return $_REQUEST['parenttab'];
con
Code: return htmlspecialchars($_REQUEST['parenttab'],ENT_QUOTES); //BUGFIX " Cross-Site-Scripting "
* modules/Users/Authenticate.php
(vtiger 5.03->riga 34/ vtiger 5.04->riga 34)
sostituire
Code: $user_password = $_REQUEST['user_password'];
con
Code: $user_password = htmlspecialchars($_REQUEST['user_password'],ENT_QUOTES); //BUGFIX " Cross-Site-Scripting "
* nei files della cartella themes, modificare il file header.php di ogni tema, es: themes/bluelagoon/header.php
(vtiger 5.03->riga 110, può variare in base al tema)
(vtiger 5.04->riga 98, può variare in base al tema)
sosituire
Code: $smarty->assign("QUERY_STRING",$_REQUEST['query_string']);
con
Code: $smarty->assign("QUERY_STRING",htmlspecialchars($_REQUEST['query_string'],ENT_QUOTES));//BUGFIX "Cross-Site-Scripting "
Se si utilizza una versione di vtiger 504 CrmVillage è possibile scaricare i file già modificati da questo indirizzo:
www.vtiger.it/documenti/vtiger504ita_security_patchXSS.zip
Per chiarimenti o segnalazioni utilizzate questo thread, evitate di aprirne ulteriori
ciao
dade |
|
| Back to top |
|
chriscast
Joined: 10 Jul 2008
Posts: 24
Location: Pisa
|
| Posted: Wed Aug 06, 2008 3:27 pm Post subject: Re: Patch Sicurezza vTiger |
|
|
Ciao di preciso quali sarebbero le pagine sprotette raggiungibili dal browser? Potresti fornire un esempio di esecuzione di codice javascript?
Ti ringrazio. |
|
| Back to top |
|
vTiger.it
Joined: 15 Sep 2006
Posts: 407
Location: Italy
|
| Posted: Wed Aug 06, 2008 5:53 pm Post subject: Re: Patch Sicurezza vTiger |
|
|
Questo post fornisce una patch non un exploit, vorrei evitare scorribande di script kiddie
ciao |
|
| Back to top |
|
chriscast
Joined: 10 Jul 2008
Posts: 24
Location: Pisa
|
| Posted: Thu Aug 07, 2008 8:09 am Post subject: Re: Patch Sicurezza vTiger |
|
|
vTiger.it wrote: Questo post fornisce una patch non un exploit, vorrei evitare scorribande di script kiddie
ciao
Non importa li ho trovati da me. Avete per caso notato potenziali vulnerabilità al customer portal? Vi ringrazio. |
|
| Back to top |
|
vTiger.it
Joined: 15 Sep 2006
Posts: 407
Location: Italy
|
| Posted: Thu Aug 07, 2008 9:37 am Post subject: Re: Patch Sicurezza vTiger |
|
|
| Hai trovato le pagine che erano vulnerabili o hai trovato degli exploit pronti all'uso? |
|
| Back to top |
|
chriscast
Joined: 10 Jul 2008
Posts: 24
Location: Pisa
|
| Posted: Thu Aug 07, 2008 12:31 pm Post subject: Re: Patch Sicurezza vTiger |
|
|
vTiger.it wrote: Hai trovato le pagine che erano vulnerabili o hai trovato degli exploit pronti all'uso?
No scusa mi son spiegato male, ho trovato le pagine e ho fatto eseguire loro un banale codice javascript per testarle. Non mi sembra ci siano problemi nel customer portal invece, da quel poco che ho potuto notare.
Vi ringrazio per la segnalazione e per la correzione dei problemi di sicurezza. |
|
| Back to top |
|
vTiger.it
Joined: 15 Sep 2006
Posts: 407
Location: Italy
|
| Posted: Thu Aug 07, 2008 2:02 pm Post subject: Re: Patch Sicurezza vTiger |
|
|
Meglio così :)
Riguardo il customer portal non ci sono problemi noti, in quanto utilizza soap e quindi il sistema non è direttamente esposto, inoltre i dati passati sono codificati con nusoap. Possiamo dormire tranquilli :D
ciao
dade |
|
| Back to top |
|
| |
