Mehrere Fehler in Dokumentenmanagement-System CyberDOCS
Der Sicherheitsdienstleister Procheckup hat vier SicherheitslĂĽcken im Dokumentenmanagement-System (DMS) CyberDOCS des Herstellers Hummingbird gefunden.
Der Sicherheitsdienstleister Procheckup hat vier Sicherheitslücken im Dokumentenmanagement-System (DMS) CyberDOCS des Herstellers Hummingbird gefunden. CyberDOCS ist ein Web-basiertes DMS unter Windows, das eine SQL-Datenbank zur Verwaltung einsetzt. Hier findet sich auch der erste Fehler. Das Skript "loginact.asp" filtert Benutzereingaben auf der Web-Oberfläche nicht richtig, sodass ein Angreifer mittels SQL-Injection Kommandos einschleusen und an die Datenbank übergeben und ausführen kann.
Fehler Nummer zwei macht Cross-Site-Scripting-Angriffe (XSS) möglich. Von CyberDOCS generierte Webseiten können JavaScripte enthalten, die man vorher in einer URL mitgesendet hat. Klickt ein Anwender auf einen Link in einem manipulierten HTML-Dokument, startet das Skript entsprechend der Sicherheitszone mit den Rechten des Anwenders. Des Weiteren sind die Rechte diverser Skripte (.inc) falsch gesetzt. Ein Angreifer kann mit Kenntnis der Namen und Orte der Skripte über den Webserver darauf zugreifen und starten. Je nach Funktion des Skriptes können dabei mehr oder minder kritische Informationen angezeigt werden. Der letzte Fehler liefert dem Angreifer Informationen über die Installation des DMS selbst. Nach einem fehlerhaften Log-in kann die folgende Fehlerseite den absoluten Pfad des Webservers enthalten.
Betroffen sind laut Procheckup die Versionen 3.1, 3.5.1, 3.9 und 4.0, wobei nicht jeder Fehler in allen Versionen auftritt. Weitere Informationen dazu sind den Security Advisories zu entnehmen. Hummingbird hat einen Patch auf seinen Seiten zur Verfügung gestellt, der aber nur die XSS-Schwäche behebt und das Anzeigen des Pfades verhindert. Die fehlerhafte SQL-Parameterabfrage ist seit Version 3.9 behoben, daher empfiehlt der Hersteller einen Upgrade, sofern man noch alte Versionen einsetzt. Zum Setzen der richtigen Rechte der .inc-Skripte ist Handarbeit notwendig. Die genaue Vorgehensweise beschreibt die CERT/CC Vulnerability Note VU#989580
Siehe dazu auch: (dab)
- Security Advisories von Procheckup
- Patch von Hummingbird
