Взломы moin-moin

    Некоторое время назад по рассылкам безопасности прошла информация о потеницальной уязвимости в ПО для построения Вики-проектов moin-moin, которая позволяет получить локальные права пользователя, с которым это moin-moin запущен. Те, кто подобные рассылки читает, знает, что такие сообщения появляются (не в отношении персонально moin-moin, а «вообще») довольно часто и никакого особого интереса не вызывают. Нашли — поправили — обновили — забыли.

    Однако, с этой уязвимостью moin-moin ситуация оказалась хуже.

    В настоящий момент есть уже две крупные жертвы: вики Дебиана и вики Питона: (в настоящий момент переведена в оффлайн). Детали по степени проникновения для Питона пока не известны, а для дебиана опубликован отчёт: украли емейлы и солёные хеши паролей.

    Кто ещё?


    Используют moin-moin: Apache (в том числе для TomCat), Ubuntu, Mercurial, Baazar, CAcert.org, WireShark, Squid, CouchDB, SpamAssasin, Gnome Live, Wine, X.org, GRUB, CentOS, Arch, FreeBSD, OpenWRT, freedesktop.org, GCC, DropBox…

    Сколько из них успело уже обновиться?

    Описание уязвимости


    Сама уязвимость ничего интересного из себя не представляет — загружают исполняемый файл, исполняют. Описание: CVE-2012-6081.

    Вики питона


    Как мне подсказывает bliznezz, в рассылке пишут, что в отличие от вики дебиана, атакующий просто (вероятнее всего, после скачивания всех интересных данных) удалил всю информацию до какой имел доступ аккаунт moin, включая вики Python и Jython.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 7

      +2
      Обидно за moin-moin
        0
        hg.moinmo.in/moin/1.9/rev/3c27131a3c52

        (-) Вообще не проверялось имя файла.
        (+) Функция проверки имени файла была, но её забыли вызвать.
        (-) К фиксу не написали тест.
          0
          Если быть точнее то вот коммит с фиксом hg.moinmo.in/moin/1.9/rev/7e7e1cbb9d3f, уязвимости в трех местах, правда в зависимости от включенного функционала :) Правда с аттачем все включено в 100% случаях.
            0
            PS единственный вопрос, который не задавался — какие у них права ставятся по дэфолту на загруженные файлы, если достаточно не ставить +x на него? это же им не пхп :)
              0
              А разве не питон файл загружался, который потом выполнялся веб-сервером?
                0
                ну да, а как этому файлу проставлялись права на исполнение?) я бы сказал что для исполнения уязвимости нужны довольно специфические настройки вебсервера.

                docs.python.org/2/howto/webservers.html

                цитата:

                The Python script is not marked as executable. When CGI scripts are not executable most web servers will let the user download it, instead of running it and sending the output to the user. For CGI scripts to run properly on Unix-like operating systems, the +x bit needs to be set. Using chmod a+x your_script.py may solve this problem.

                единственный вариант который приходит на ум — у них стоял mod_python с дэфолтными настройками
          0
          gunicorn и supervisor для другого пользака, права только на его директорию…

          Only users with full accounts can post comments. Log in, please.