Author Archives: marius

OwnCloud 6 und Pydio 5 angreifbar für XSS Attacken

Posted on by

Im Dezember 2013 wurde in OwnCloud eine Schwachstelle entdeckt, die Benutzer für XSS Attacken angreifbar macht.

XSS Attacken bestehen aus dem Einschleusen von Javascriptcode in bestehende Webseiten, deren Inhalt dann im Context eines Benutzers ausgeführt wird. Ziel dieses Angriffs ist entweder der Zugang des Benutzers, oder das Umleiten auf eine andere Seite, welche dann Daten abgreift oder einen Exploit gegen den Besucher PC/Browser ausführt.

James Sibley von blog.noobroot.com hat nun am 12.12.2013 so eine Schwachstelle über einen sehr ungewöhnlichen Angriffsvektor geschafft, nämlich dem Filesystem. Dieser Angriff funktioniert auch bei Pydio(ehemals AjaXplorer).

Zunächst erzeugt man erstmal auf einem x beliebigen Linux/Unix System eine Datei, die wie ein HTML-Tag benannt ist :

echo "" > "<img src=x onerror=alert(window.document.cookie);>.txt"

Klingt unglaubwürdig, funktioniert aber wirklich. Solange keine weiteren ‚“‚ im Namen sind, kann man auf diese Weise leicht alle beliebigen Anweisungen unterbringen, da Filenamen in modernen Dateisystem auch länger als 64 Zeichen sein können. Möchte man ‚“‚ drin haben, muß man sich nur etwas mehr anstrengen bei der Eingabe. Für dieses Demo belassen wir es mal dabei.

OwnCloud und Pydio erlauben es Benutzern solche Dateien zu teilen. Passiert dies, wird der betreffende Benutzer die von einem anderen Benutzer geteilte Datei in seinem Zugangsfenster sehen. In dem Augenblick wird vom Browser der Tag <img … > ausgewertet, weil er im Sourcecode der Seite steht. Weil das Bild nicht angzeigt werden kann, wird das onError-Script ausgeführt, welches der Angreifer in den Dateinamen geschrieben hat.

Wie wird da jetzt ein Angriff draus, denn erzeugen kann man die Datei über Pydio und OwnCloud nicht?

Ganz einfach: Man erzeugt die Datei auf einem externen Server und bindet diesen über die unzähligen Methoden als neues Repository (Begriff von Pydio) z.b. via Samba, FTP, AmazoneS3 oder DropBox-Anbindung ein. Dann kann man die Datei freigeben.

Das Opfer kann dagegen nichts machen, da bspw. in Pydio dazu keine Interaktion zwischen den beiden Benutzern nötig ist. Man kann dort eine Datei für x-beliebige Benutzer freigeben, oder gleich komplett für alle. Der angegriffene Benutzer sieht den Angriff erst, wenn es zuspät ist, er also die Seite mit dem geänderten Dateinamen anzeigt. Ohne sie anzuzeigen, kann man sie nicht sehen, also kommt es für ihn überraschend und damit zu spät. In dem Augenblick wird der Browser zum Helfershelfer der Angreifer.

Pydio und OwnCloud Exploit

Pydio und OwnCloud Exploit

Gegen diesen Angriff gibt es derzeit noch keinen Patch.

Unser Rat an der Stelle kann nur lauten, daß nur vertrauenswürdige Personen Benutzerzugänge auf Ihre OwnCloud und Pydio Installation bekommen und natürlich diese natürlich keine externen Repositories einbinden dürfen. Dies kann in Pydio über das Rechtemanagement verhindert werden.

ownCloud und Pydio wurden natürlich bereits informiert.

und wieder die UNO aus Nigeria..

Posted on by

Es ist sehr ruhig geworden in unserer Spamfalle. Lange ist es her, daß mich eine dieser „419“ Emails erreicht hat. „419“ stammt übrigens vom Paragraphen im Nigerianischen Recht, der solche Verbrechen unter Strafe stellt. Nicht, daß es jemanden groß kümmern würde.

Return-path: <kawashima@arukikata.co.jp>
Delivery-date: Sat, 01 Feb 2014 14:23:27 +0100
Received: from XXXXXXXXXXXXXX ([XXXXXXXXXXXXX])
	by XXXXXXXXXXXXXXXXXXXXXXXX with esmtps (TLSv1.2:DHE-RSA-AES128-SHA:128)
	(Exim 4.80.1)
	(envelope-from <kawashima@arukikata.co.jp>)
	id 1W9aXe-0007E9-NM
	for XXXXXXXXXXXXXXXXXXXXXXXXXXX1 Feb 2014 14:23:26 +0100
Received: from elias.avalonia.dk ([62.243.190.19]) by XXXXXXXXXXXXX (XXXXXXXXX)
 with ESMTP (Nemesis) id 0LqzuR-1VfShV0zhr-00efhq for ;
 Sat, 01 Feb 2014 16:21:26 +0100
Received: from [184.82.171.225] (account mr@cosmo.dk HELO User)
  by elias.avalonia.dk (CommuniGate Pro SMTP 6.0.8)
  with ESMTPA id 44454438; Sat, 01 Feb 2014 16:55:43 +0100
Reply-To: <atmunit1001@yahoo.co.jp>
From: "UNITED NATIONS ORGANIZATION"<kawashima@arukikata.co.jp>
Date: Sat, 1 Feb 2014 06:54:31 -0500
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <auto-000044454438@elias.avalonia.dk>
Subject:   

UNITED NATIONS.
United Nations House, 617/618.
Diplomatic Zone,
Central Area District,
Federal Capital Territory,
Abuja, Nigeria.
atmunit1001@yahoo.co.jp

Our Ref: YBNGWB/UN/2014.

Attention: Dear Beneficiary,

Natürlich haben hier wieder das übliche UNO.PDF als Anhang, was entweder ein Exploit ist, oder den gleichen Text nochmal hübsch aufbereitet zeigt. Vermutlich beides 🙂

Absender, Empfänger, Reply-To: und Server über die das geschickt wurden, passen natürlich nicht zusammen. Das auch gleich mal kein Subject Header in der Email drin war, bedeutet natürlich nichts gutes.

Wie immer, einfach in die Tonne die Mail hauen.

Winter am Mittelweg – Radwege verschwunden

So liebe Stadt Braunschweig,

kaum daß der letzte Artikel fertig war, zeigt sich schon die nächste Gefahr für Radfahrer:

Bei Schneefall sind die Radwege unpassierbar.

Mittelweg - unbenutzbare Radwege

Mittelweg – unbenutzbare Radwege

 

Nicht, daß die Radwege nicht geräumt werden und so wenigsten ein vorsichtiges befahren möglich wäre, nein, dank der tumpen Maßnahme, den Radweg auf die Straße zu verlegen, kann dieser nun gar nicht mehr befahren werden. Geräumt und gesalzen wird dort nicht und durch den Matsch den die Autos dort platzieren, ist er auch unpassierbar.

Ein echter Geniestreich der Stadt(un)planung.

Die einzig richtige Forderung kann hier nur sein, den Quatsch endlich auszubügeln und wieder richtige Fuß- und Radwege anzulegen.