Về 'lỗi bảo mật' của NukeViet 2.0 beta mà SecurityFocus và US-CERT/NIST công bố

Cuối tháng 8 năm 2008,Website chuyên về bảo mật SecurityFocus công bố lỗi bảo mật liên quan đến việc phát hiện ra file admin.php của NukeViet 2.0 beta2. Thực ra Ban Quản Trị NukeViet không coi đây là một lỗi nên đã bỏ qua cảnh báo này, tuy nhiên cuối tháng 3 năm 2009 US-CERT/NIST đã nhắc lại lỗi này trong một báo cáo bảo mật hồi đầu năm nay. Chúng tôi xin phân tích để các bạn được rõ.

"Lỗi bảo mật" mà SecurityFocus công bố hồi tháng 8 năm 2008 dựa trên mã nguồn NukeViet 2.0 Beta 2b cho rằng một lỗi cookies ở file admin/login.php có thể khiến kẻ tấn công vượt qua hệ thống bảo vệ.

Chi tiết báo cáo bảo mật này như sau: http://www.securityfocus.com/bid/30681/info

Thực tế là ngay từ đầu báo cáo bảo mật này đã ... có lỗi vì hệ thống NukeViet không có file admin/login.php, tuy nhiên qua cách mà SecurityFocus phân tích lỗi thì có thể thấy là file mà được phân tích ở đây là admin/index.php

Đây chỉ là một file phụ được đưa vào NukeViet kể từ phiên bản NukeViet 2.0 beta 2 giúp Admin đi tới file admin.php cho nó logic hơn chứ thực ra nó hầu như không có ý nghĩa về mặt bảo mật vì hệ thống login thực sự của NukeViet đặt ở admin.php. Chính vì lẽ đó phân tích này của SecurityFocus hơi cường điệu mức nguy hiểm của "lớp bảo mật" này.

Báo cáo này hầu như bị quên lãng cho đến khi nó xuất hiện lại trong một báo cáo bảo mật hồi đầu năm nay của Trung tâm ứng cứu khẩn cấp máy tính Hoa Kỳ: http://www.us-cert.gov/cas/body/bulletins/SB09-026.html

Chi tiết về lỗi này được nhắc đén trong bản tin cảnh báo của US-CERT trong đó sử dụng các thông tin do SecurityFocus phân tích: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945

Đáng nói là US-CERT đánh giá đây là một lỗi nghiêm trọng và tấn công có thể diễn ra rất ... dễ dàng:

Vậy xin nhắc lại để người sử dụng an tâm: admin/index.php (NukeViet 2.0 beta2) chỉ là một file phụ, không thể sử dụng nó để tấn công vào hệ thống NukeViet như trong miêu tả của 2 bản báo cáo bảo mật trên.

P/S:
Cơ chế tìm file admin.php của bản NukeViet 2.0 RC2 đã được viết lại nên phân tích này không đúng với bản RC.

Thông tin bổ sung:

• Trung tâm ứng cứu khẩn cấp máy tính Hoa Kỳ - United States Computer Emergency Readiness Team (US-CERT) thuộc Viện Tiêu chuẩn và Công nghệ (NIST) Hoa Kỳ.
• SecurityFocus.com là trang web chuyên cung cấp các dịch vụ bảo mật thông tin và các thông tin liên quan đến bảo mật trực tuyến. Website được điều hành bởi các cá nhân nổi tiếng trong lĩnh vực bảo mật. SecurityFocus đã được mua lại bởi Symantec vào tháng Tám năm 2002.

http://www.securityfocus.com/bid/30681/info
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945
http://www.us-cert.gov/cas/body/bulletins/SB09-026.html
http://en.wikipedia.org/wiki/US-CERT
http://en.wikipedia.org/wiki/NIST
http://en.wikipedia.org/wiki/SecurityFocus