В WordPress и Ruby on Rails обнаружены серьезные уязвимости

9 сентября 2008 года

Вышел релиз системы управления контентом WordPress 2.6.2 в котором исправлена серьезная уязвимость, позволяющая злоумышленнику, используя спецсимволы в имени пользователя на этапе регистрации, заменить пароль для другого аккаунта в системе на случайное значение. Уязвимости подвержены релизы WordPress до версии 2.6.1 включительно.

Проблема усугубляется тем, что в коде PHP-интерпретатора обнаружена проблема, позволяющая предугадать значения выдаваемые генератором случайных чисел mt_rand(), что позволяет злоумышленнику подобрать измененный в WordPress пароль. Для защиты можно использовать модифицированный PHP-интрепретатор Suhosin, используемый для повышения безопасности, в последнем релизе которого существенно улучшена работа генератора случайных чисел.

Вторая уязвимость связана с возможностью подстановки SQL запроса в приложения, написанные на базе Ruby on Rails. Уязвимы все релизы Rails до версии 2.1.1. Проблема вызвана недостаточной проверкой передаваемых значений, через параметры ":limit" и ":offset" в подсистеме поиска. Например, злоумышленник может добиться выполнения блока Person.find(:all,:limit="10; DROP TABLE users;"). Передача команды через разделитель ";" сработает в СУБД PostgreSQL и SQLite, для MySQL по умолчанию запрещена передача нескольких команд в одном запросе, но для выполнения SQL блока в MySQL можно использовать UNION (Архивная копия от 26 августа 2014 на Wayback Machine) - "limit='1 UNION (select ...)'". Патчи: для Rails 2.1.0, Rails 2.0 и 1.2.

Дополнение 1: вышел релиз Rails 2.1.1 с исправлением ошибки.

Дополнение 2: В стандартной библиотеке rexml, входящей в состав пакета ruby, найдена ошибка, которую можно использовать для совершения удаленного вызова отказа в обслуживании (крах приложения при попытке анализа XML, полученного от злоумышленника).