Cuối tháng 8 năm 2008,Website chuyên về bảo mật SecurityFocus công bố lỗi bảo mật liên quan đến việc phát hiện ra file admin.php của NukeViet 2.0 beta2. Thực ra Ban Quản Trị NukeViet không coi đây là một lỗi nên đã bỏ qua cảnh báo này, tuy nhiên cuối tháng 3 năm 2009 US-CERT/NIST đã nhắc lại lỗi này trong một báo cáo bảo mật hồi đầu năm nay. Chúng tôi xin phân tích để các bạn được rõ.
"Lỗi bảo mật" mà SecurityFocus công bố hồi tháng 8 năm 2008 dựa trên mã nguồn NukeViet 2.0 Beta 2b cho rằng một lỗi cookies ở file admin/login.php có thể khiến kẻ tấn công vượt qua hệ thống bảo vệ.
Chi tiết báo cáo bảo mật này như sau: http://www.securityfocus.com/bid/30681/info
Bugtraq ID: | 30681 |
Class: | Design Error |
CVE: | |
Remote: | Yes |
Local: | No |
Published: | Aug 13 2008 12:00AM |
up-dated: | Aug 26 2008 10:04PM |
Credit: | Ciph3r |
Vulnerable: | Nukeviet Nukeviet 2.0 Beta |
Thực tế là ngay từ đầu báo cáo bảo mật này đã ... có lỗi vì hệ thống NukeViet không có file admin/login.php, tuy nhiên qua cách mà SecurityFocus phân tích lỗi thì có thể thấy là file mà được phân tích ở đây là admin/index.php
Đây chỉ là một file phụ được đưa vào NukeViet kể từ phiên bản NukeViet 2.0 beta 2 giúp Admin đi tới file admin.php cho nó logic hơn chứ thực ra nó hầu như không có ý nghĩa về mặt bảo mật vì hệ thống login thực sự của NukeViet đặt ở admin.php. Chính vì lẽ đó phân tích này của SecurityFocus hơi cường điệu mức nguy hiểm của "lớp bảo mật" này.
Báo cáo này hầu như bị quên lãng cho đến khi nó xuất hiện lại trong một báo cáo bảo mật hồi đầu năm nay của Trung tâm ứng cứu khẩn cấp máy tính Hoa Kỳ: http://www.us-cert.gov/cas/body/bulletins/SB09-026.html
Chi tiết về lỗi này được nhắc đén trong bản tin cảnh báo của US-CERT trong đó sử dụng các thông tin do SecurityFocus phân tích: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945
Đáng nói là US-CERT đánh giá đây là một lỗi nghiêm trọng và tấn công có thể diễn ra rất ... dễ dàng:
Vậy xin nhắc lại để người sử dụng an tâm: admin/index.php (NukeViet 2.0 beta2) chỉ là một file phụ, không thể sử dụng nó để tấn công vào hệ thống NukeViet như trong miêu tả của 2 bản báo cáo bảo mật trên.
P/S:
Cơ chế tìm file admin.php của bản NukeViet 2.0 RC2 đã được viết lại nên phân tích này không đúng với bản RC.
Thông tin bổ sung:
http://www.securityfocus.com/bid/30681/info
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5945
http://www.us-cert.gov/cas/body/bulletins/SB09-026.html
http://en.wikipedia.org/wiki/US-CERT
http://en.wikipedia.org/wiki/NIST
http://en.wikipedia.org/wiki/SecurityFocus
Những tin mới hơn
Những tin cũ hơn