Hauptmenü

Patchen aktueller Security Issues in KIX Version 17.10

Begonnen von Fabian Seibt, 08.04.2020 16:26:17

⏪ vorheriges - nächstes ⏩

Fabian Seibt

Hallo zusammen,

hier erhaltet Ihr eine Übersicht über die uns bekannten Security Issues die in der aktuellen KIX Version bestehen.
Außerdem haben wir Euch eine kurze Anleitung notiert, damit Ihr die Patches, bis zum Erscheinen des nächsten Releases, selbst auf Eurem System korrekt einspielen könnt.

KIX Security Advisory 2020/01: Passworttoken mit Wildcard gibt Hinweise auf bestehenden Token

Details: Wenn durch die Angabe eines Passworttokens kein Benutzer gefunden wurde, wird die Meldung angezeigt, dass ein Token versendet wurde.
Wenn man einen Token mit Wildcard verwendet, und dieser einem Login zugeordnet werden kann, wird die Meldung ausgegeben, dass der Token ungültig ist.
Dadurch lässt sich mit vereinfachten Bruteforce ein gültiger Token rausfinden.

Severity: 6.1

Lösung: (behoben in KIX17 Start)
https://github.com/cape-it/kix17-start/commit/5472aedba61f09e71357d4e19227eac92e2501a7
https://github.com/cape-it/kix17-start/commit/60e5b0b5f300091b9603b4fedc03efa26ab90705

KIX Security Advisory 2020/02: Anzeige von Mailadresse bei Passwortrücksetzung

Details: 'Passwort zurücksetzen' kann mit Kenntnis eines Logins unberechtigt aufgerufen werden, um einen Token im System zu hinterlegen.
Wenn durch Probieren der richtige Token an das System übermittelt wird, erscheint im Frontend eine Meldung an welche Adresse das neue Passwort gesendet wurde.
Ein Angreifer kann so an die Email-Adresse zu einem Login gelangen.

Severity: 5.5

Lösung: (behoben in KIX17 Start)
https://github.com/cape-it/kix17-start/commit/72b6b0ae936438fccff9e7acdd029bd942a24f1b


KIX Security Advisory 2020/03: Verwendung kryptografisch unsicherer Zufallszahlen

Details: Für die Erstellung von sicherheitsrelevanten Zufallsausgaben (Zufallspasswort, Token für Passwortzurücksetzung, SessionID, Challengetoken) wird die 'rand'-Funktion von Perl verwendet, welche keine kryptografisch sichere Zufallsausgaben liefert.
Dadurch lässt sich 'einfach' der Seed bestimmen und Rückschlüsse auf künftige und vorherige Zufallsausgaben treffen.

Severity: 6.9

Lösung: (behoben in KIX17 Start)
https://github.com/cape-it/kix17-start/commit/799912c14bb26b1eed5290a62ee66b943aa94b32
https://github.com/cape-it/kix17-start/commit/363906ddd5c57b99c938a61c56694ccda8c19450

KIX Security Advisory 2020/04: Kernel::System::HTMLUtils::Safety umgehbar

Details: Darzustellende Artikelinhalte werden in Hinblick auf Sicherheit überarbeitet.
HTTP redirects und JS-Code sollten dadurch bereinigt werden. Dies funktioniert aber nicht vollständig.
Durch die Einbettung in Sandbox-Iframes gibt es dadurch keine unmittelbare Gefahr aus, kann aber bei Verwendung der Funktion in weiteren Entwicklungen zur Sicherheitslücke werden.

Severity: 4.7

Lösung: (behoben in KIX17 Start)
https://github.com/cape-it/kix17-start/commit/c58720d95f919a7899aeda6e453bbaff97763bf4
https://github.com/cape-it/kix17-start/commit/a5dabb6b3c218467c103991b0ee46fe95542bcbb

Hinweis: Ein Austausch der HTMLUtils.pm ist ausreichend, die Anpassungen an den Unit-Tests dienen der internen Prüfung.


Anleitung zum Einspielen des Patches

1. Folgen Sie dem jeweiligen Link zum github

2. Laden Sie sich die betroffenen Dateien herunter

                Entweder: RAW-Ansicht → ,,wget" auf linuxbasierten Systemen oder ,,Ziel speichern unter" im Browser
                Oder: Im Hauptordner bei "Clone or Download" die ZIP-Datei herunterladen, entpacken und die jeweils betroffenen Dateien extrahieren

3. Speichern Sie die jeweilige Datei in ihrem KIX-Ordner im jeweils korrekten Pfad mit den passenden Datei-Berechtigungen

4. Starten Sie den Webserver und den KIX-Daemon neu



VG Fabian

Fabian Seibt

Hallo zusammen,

bitte beachtet, dass wir am 27.04.2020 nochmal eine Änderung an dem Beitrag vornehmen mussten, der nicht direkt am Thema ersichtlich wird.
Wir haben hier die Severity angepasst und für die Beiträge KIX Security Advisory 2020/01 und KIX Security Advisory 2020/03 jeweils einen weiteren Link ergänzt.

VG Fabian