Surveiller ce forum | Commencer une nouvelle discussion

Hiérarchisé À plat Fils de discussion Ultime

Montrer 25 Montrer 50 Montrer 75 Montrer 100

RE: Vulnérabilités et faiblesses à corriger [ Répondre ] Par : Richard REY (Rexy) on 2023-05-13 17:34

[forum:624287]

2ème rustine liée à l'item 1 (XSRF+RCE) La révision 3135 du SVN intègre un XSRF-Token dans la page "activity.php". Ce token est l'empreinte (sha256) d'une chaine de caractères constituée de : - un aléa généré lors de l'installation de chaque ALCASAR - l'adresse IP du PC connecté à l'ACC - le "User Agent" du navigateur de l'admin connecté à l'ACC tout est là : http://websvn.alcasar.net/comp.php?repname=ALCASAR&compare[]=%2F@3134&compare[]=%2F@3135

RE: Vulnérabilités et faiblesses à corriger [ Répondre ] Par : Richard REY (Rexy) on 2023-04-24 15:04	[forum:623826] activity.php (9) downloads
Bonjour, 1ère rustine liée à l'item 1 (XSRF + RCE) : ci-joint une version du fichier "activity.php" qui remplace "/var/www/html/acc/manager/htdocs/activity.php". La vulnérabilité "Remote Code Execution (RCE)" est ainsi annulée. Il reste à verrouiller complètement la menace XSRF permettant d'autoriser/bloquer une adresse MAC. Nous intègrerons un XSRF-Token prochainement.

RE: Vulnérabilités et faiblesses à corriger [ Répondre ] Par : Richard REY (Rexy) on 2023-04-24 12:37	[forum:623825]
Bonjour Laurent, Oui tout à fait, mais on peut surement faire mieux. On doit pouvoir "chiffrer" le mot de passe même si le flux est en clair (on le fait déjà lors de la 2è phase (entre le navigateur et "chilli"). Je refais la doc technique pour clarifier cela.

RE: Vulnérabilités et faiblesses à corriger [ Répondre ] Par : Laurent roux on 2023-04-24 01:19	[forum:623824]
Hello, Pour moi le point 3 était connu et indiqué comme tel dans la doc d'installation... Non ?

Deux vulnérabilités (versions < 3.6.2) et deux faiblesses (à corriger) [ Répondre ] Par : Richard REY (Rexy) on 2023-04-24 00:23

[forum:623823]

Bonjour, Une étude de vulnérabilités a été réalisée sur ALCASAR par Hannes MORH et Baptiste DAVID de ERNW Enno Rey Netzwerke GmbH (https://ernw.de). Un grand merci pour cette étude et pour les résultats qu'ils nous ont transmis. 1- ACC (activity.php) : vulnérabilité de type "cross-site request forgery (CSRF ou XSRF)". Scénario possible : un administrateur authentifié sur l'ACC d'ALCASAR reçoit un mail et clique sur un lien malveillant qui pointe sur l'ACC de son ALCASAR (page "activity.php") en surchargeant les valeurs attendues. Il est alors possible d'exécuter du code à distance (Remote Code Execution - RCE) ou d'autoriser/bloquer des @MAC. 2 - ACC (authentification) : nous utilisons actuellement la méthode "htdigest" avec échange d'empreintes MD5 (cet algorithme de hachage est réputé faible). 3- Authentification des utilisateurs : dans la première phase d'authentification, si l'administrateur n'a pas activé le chiffrement des flux (HTTPS), le mot de passe de l'utilisateur transite en clair entre son navigateur et le serveur web d'ALCASAR. 4- Authentification des utilisateurs : dans la deuxième phase d'authentification le mot de passe transite de manière "chiffrée" entre son navigateur et le processus "chilli". Dans certaines conditions, l’algorithme utilisé permet de révéler la taille du mot de passe. Nous travaillons afin de corriger ces vulnérabilités/faiblesses. Un post sera publié au fur et à mesure de l'avancé des travaux.