Command execution exploit in Ultimate Bulletin Board

Security Focus meldt dat iemand het voor elkaar gekregen heeft om tussen de extreem ranzige en trage perl code van het populaire Ultimate Bulletin Board (nog steeds in gebruik op ons eigen forum) een bugje te vinden:

Infopop's Ultimate Bulletin Board software (often referred to as UBB) is a popular web board package written in perl. Because of errors in regular expressions that check form input values, it is possible to execute arbitrary commands on a server running UBB. In ubb_library.pl, the variable $ThreadFile is added to the end of a string passed to the open() call (as a filepath) for writing data to the UBB web server's filesystem. Regular expressions are used to make sure the variable data is in proper format:
if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb/)
and in the commercial version:
if ($ThreadFile =~ /\d\d\.[m|n|ubb|cgi]/) { Unfortunately, the regular expressions do not require that ".ubb" be the end of the strings, which means that extra data can be included after ".ubb" and the value will still match the expressions (if $ThreadFile is crafted properly) and be passed to open(). The value for $Threadfile is obtained directly from a "hidden" html form variable called 'topic', making this a remotely exploitable vulnerability.

Thanks xoror voor de link.

IT-banen

Reacties (14)

Cruz 20 februari 2000 16:21

Ohoh
In plaats van DoS attacks krijgen we nu dit?
Een beetje hacker kan dus rm * of zo uitvoeren door een rare waarde in te vullen?

Hmmmm
Is die bug dan niet HEEL eenvoudig te fixen door die .ubb vereiste weer in te stellen?

Cruzing.

FaceMan 20 februari 2000 16:23

gsus hoe vinden ze het ??

het is dan misschien niet leuk, maar ik vind het wel errug knap dat ze dit zo hebben kunnen vinden.....

Barend 20 februari 2000 16:39

Ik ben vooral erg benieuwd naar een fix. Mijn perl is nogal gebrekkig, maar een scrippie aanpassen met elders verkregen code kan ik nog wel.

Suggesties?

Verwijderd @Barend • 23 juli 2000 11:46

even testen

Auteur

Femme UX Designer 20 februari 2000 16:43

Hij gebruikt gewoon reguliere expressies om te checken of de file klopt. Nu moet je 'm dus vertellen dat .ubb als laatste moet komen -> dollar teken:

if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb$/) { ...

Zie Security Focus.

Verwijderd 20 februari 2000 16:57

Femme, hoe ver zijn jullie trouwens met de ontwikkeling van de PHP versie van het Tweakers forum?...

MAZZA 20 februari 2000 17:03

Inderdaad deze bug kwam ik laatst tegen op packetstorm (www.packetstorm.securify.com ). Best wel een lullige bug trouwens want je kan zo de password file van linux naar je mailbakkie laten sturen. Of de passwords van alle users die zijn geregistreerd op dat forum. En dan zijn er altijd wel van die slimme mensen die 1 password voor al hun 'internetdiensten' gebruiken.

Tsja... UBB zuigt.... Doe mij maar php3 <--> mysql Da's pas een mooie combo!

Arjen 20 februari 2000 17:51

www.scriptkeeper.com/ubb/Forum16/HTML/000814.html

in deze thread staan een oplossing voor de commerciele versie.

ranzige pad 20 februari 2000 19:03

ik haat vertalerbouw, dus haat ik ook reguliere expressies

easydisk 20 februari 2000 19:47

Als we dan toch bezig zijn:
Waarom zou alleen de Admin het IP mogen zien op bijv:
<A href="http://gathering.tweakers.net/Forum2/HTML/000010.html"" target=_blank>gathering.tweakers.net/Forum2/HTML/000010.html"</A> target=_blank>gathering.tweakers.net/Forum2/HTML/000010.html</A>

Iedereen kan toch
<A href="gathering.tweakers.net/Forum2/000010.cgi zien ?
staat alles in, IP/E-mail etc.

Het wordt tijd voor een goed PHP/Mysql boardje.

Verwijderd 20 februari 2000 22:12

Ik begrijp niks van wat hier staat.
Nou ja jammer he

Op dit item kan niet meer gereageerd worden.

Command execution exploit in Ultimate Bulletin Board

Lees meer

IT-banen

Reacties (14)

Sorteer op:

Weergave: