XSS-Schutz von ColdFusion lässt sich aushebeln

Der Sicherheitsspezialist Brett Moore von Security-Assessment.com hat Informationen über drei Schwachstellen in ColdFusion MX7 veröffentlicht. Zwei davon sind eher unkritisch und lassen sich ausnutzen, um Informationen darüber zu sammeln, welche interne IP-Adresse das System besitzt sowie in welchem Pfad der Server installiert wurde.

Interessant ist allerdings die dritte Schwachstelle, mit der sich der Cross-Site-Scripting-Schutz von ColdFusion aushebeln lässt. ColdFusion durchsucht Inhalte nämlich nach dem <script>-Tag und ersetzt sie durch <invalid tag>. Allerdings genügt es nach Angaben von Moore, ein %00 in das Tag einzufügen, um den Filter zu überlisten. In der Folge wird das Tag nicht umgewandelt und XSS-Angriffe auf Anwender des Internet Explorer sind so weiterhin möglich. Der Internet Explorer 6 ist bekannt dafür, dass er selbst kaputte Seiten noch darstellt. Er geht dabei so weit, Zeichen mit dem Wert Null (%00) zu ignorieren -- und zwar in beliebiger Menge und an beliebigen Stellen im HTML-Code. Antiviren-Software und Intrusion Detection/Prevention Systeme lassen sich damit austricksen -- und eben auch andere Schutzfunktionen. Der Hintergrundartikel "Null Problemo" auf heise Security beschreibt das Problem ausführlich.

Neben ColdFusion 7 soll eventuell auch Version 6 die drei Schwachstellen aufweisen. Bislang sind noch keine Updates von Adobe verfügbar. Zwar ist der Hersteller informiert, allerdings wolle er die Probleme erst im nächsten Major Release beheben.

Siehe dazu auch:

• ColdFusion MX7 - Multiple Vulnerabilities, Fehlerbericht von Brett Moore