plugin media : injection SQL via paramètre non vérifié ?

alexisz · Décembre 3, 2019, 1:37

Bonjour,

Il y quelques jours notre site à été victime d’une attaque par injection SQL.

Des injections répéter de code SQL dans des requêtes POST utilisant le paramètre

ils nous semble avoir identifié une vulnérabilité permettant l’injection de requête SQL ‹ ordre › dans une fonctionnalités du plugin media : plugins-dist/medias/action/ordonner_liens_documents.php (https://code.spip.net/?page=proposer_docblock&fichier=plugins-dist/medias/action/ordonner_liens_documents.php).

Exemple :
POST /
action=ordonner_liens_documents&objet_source=documents&objet_lie=ok&id_objet_lie=1&ordre=id_document)) && ((SELECT lpad(right(left(pass,56),1),180003,"&") rlike « &+4 » FROM spip_auteurs order by statut ASC limit 4,1

Ces tentatives ont complètement bloqué la base de donnée et donc bloqué le site sur la page de « site en travaux, connexions a la base sql impossible », il a fallut reboot la bdd.

Nous sommes en spip 3.2.1 [23375], plugin media v2.20.23, ecran_secu 1.3.11 au moment des fait (1.3.12 aujourd’hui).

De notre compréhension il manque peut être une vérification du paramètre ‹ ordre › qui est par la suite directement passé à un sql_allfetsel

Un collège a trouver un ticket peut être relatif a cette théorie : https://www.cvedetails.com/cve/CVE-2008-5813/ (malgré que nous ne sommes pas en spip2).

Avons nous oublier quelque chose dans notre configuration pour nous prémunir de ce type d’attaque ou y a t’il vraiment une faille dans cette fonctionnalitée ?

Merci d’avance pour votre point de vue / retour

b_b · Décembre 3, 2019, 2:01

Déjà vu et pris en compte, merci.

++
b_b

Le 03/12/2019 à 15:00, RealET a écrit :

C'est sorti en public sur la liste user.

--
realET

-------- Message transféré --------
Sujet : plugin media : injection SQL via paramètre non vérifié ?
Date : Tue, 3 Dec 2019 14:37:55 +0100
De : alexis zucca <azuccamae@gmail.com>
Pour : spip@rezo.net
Groupes de discussion : gmane.comp.web.spip.user

Bonjour,

Il y quelques jours notre site à été victime d'une attaque par injection SQL.

Des injections répéter de code SQL dans des requêtes POST utilisant le paramètre

ils nous semble avoir identifié une vulnérabilité permettant l'injection de requête SQL 'ordre' dans une fonctionnalités du plugin media : plugins-dist/medias/action/ordonner_liens_documents.php (https://code.spip.net/?page=proposer_docblock&fichier=plugins-dist/medias/action/ordonner_liens_documents.php <https://code.spip.net/?page=proposer_docblock&fichier=plugins-dist/medias/action/ordonner_liens_documents..php>\).

Exemple :
POST /
action=ordonner_liens_documents&objet_source=documents&objet_lie=ok&id_objet_lie=1&ordre=id_document)) && ((SELECT lpad(right(left(pass,56),1),180003,"&") rlike "&+4" FROM spip_auteurs order by statut ASC limit 4,1

Ces tentatives ont complètement bloqué la base de donnée et donc bloqué le site sur la page de "site en travaux, connexions a la base sql impossible", il a fallut reboot la bdd.

Nous sommes en spip 3.2.1 [23375], plugin media v2.20.23, ecran_secu 1.3.11 au moment des fait (1.3..12 aujourd'hui).

De notre compréhension il manque peut être une vérification du paramètre 'ordre' qui est par la suite directement passé à un sql_allfetsel

Un collège a trouver un ticket peut être relatif a cette théorie : CVE-2008-5813 : SQL injection vulnerability in inc/rubriques.php in SPIP 1.8 before 1.8.3b, 1.9 (malgré que nous ne sommes pas en spip2).

Avons nous oublier quelque chose dans notre configuration pour nous prémunir de ce type d'attaque ou y a t'il vraiment une faille dans cette fonctionnalitée ?

Merci d'avance pour votre point de vue / retour

--
-------------------
www.eliaz.fr
Bruno Bergot
06 50 69 30 00

Chiniard_Arnaud · Décembre 4, 2019, 1:24

Bonjour,

Spip 3.2.1 ? ton problème ne vient-il pas de là ?

https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-2-5-et-SPIP-3-1-11.html

Cordialement,

Envoyé : mardi 3 décembre 2019 14:38

Franck · Décembre 4, 2019, 8:45

Hello

Juste pour dire qu’il y a 3 articles à lire concernant ce genre de problème

https://contrib.spip.net/SPIP-hacke-que-faire

https://contrib.spip.net/En-bref-SPIP-hacke-que-faire

https://contrib.spip.net/SPIP-hacke-que-faire-la-revanche-des-sites

Ensuite le mieux est de faire un message dans la bonne liste concernant ton problème, possible qu’une version à jour n’a plus le problème, tu trouveras l’adresse de la bonne liste à la fin du premier article (suffit de supprimer les espaces avant et après le @)

Franck

De : Chiniard, Arnaud Arnaud.Chiniard@paris.fr
Envoyé : mercredi 4 décembre 2019 14:25
À : alexis zucca azuccamae@gmail.com; spip@rezo.net
Objet : Re: [Spip] plugin media : injection SQL via paramètre non vérifié ?

Bonjour,

Spip 3.2.1 ? ton problème ne vient-il pas de là ?

https://blog.spip.net/Mise-a-jour-CRITIQUE-de-securite-Sortie-de-SPIP-3-2-5-et-SPIP-3-1-11.html

Cordialement,

De : alexis zucca [mailto:azuccamae@gmail.com]
Envoyé : mardi 3 décembre 2019 14:38
À : spip@rezo.net
Objet : [Spip] plugin media : injection SQL via paramètre non vérifié ?

Bonjour,

Il y quelques jours notre site à été victime d’une attaque par injection SQL.

Des injections répéter de code SQL dans des requêtes POST utilisant le paramètre

ils nous semble avoir identifié une vulnérabilité permettant l’injection de requête SQL ‹ ordre › dans une fonctionnalités du plugin media : plugins-dist/medias/action/ordonner_liens_documents.php (https://code.spip.net/?page=proposer_docblock&fichier=plugins-dist/medias/action/ordonner_liens_documents.php).

Exemple :
POST /
action=ordonner_liens_documents&objet_source=documents&objet_lie=ok&id_objet_lie=1&ordre=id_document)) && ((SELECT lpad(right(left(pass,56),1),180003,"&") rlike « &+4 » FROM spip_auteurs order by statut ASC limit 4,1

Ces tentatives ont complètement bloqué la base de donnée et donc bloqué le site sur la page de « site en travaux, connexions a la base sql impossible », il a fallut reboot la bdd.

Nous sommes en spip 3.2.1 [23375], plugin media v2.20.23, ecran_secu 1.3.11 au moment des fait (1.3.12 aujourd’hui).

De notre compréhension il manque peut être une vérification du paramètre ‹ ordre › qui est par la suite directement passé à un sql_allfetsel

Un collège a trouver un ticket peut être relatif a cette théorie : https://www.cvedetails.com/cve/CVE-2008-5813/ (malgré que nous ne sommes pas en spip2).

Avons nous oublier quelque chose dans notre configuration pour nous prémunir de ce type d’attaque ou y a t’il vraiment une faille dans cette fonctionnalitée ?

Merci d’avance pour votre point de vue / retour