Afectados: b2 cafelog 0.6.1 con ljupdate
           b2 cafelog 0.6.2 y anteriores

Autor: FraMe (frame at kernelpanik.org)
URL: http://www.kernelpanik.org

CONTENIDOS

1. Introduccion
2. Descripcion
3. Detalles
4. Respuesta del fabricante

1. Introduccion.

b2 es una herramienta de news/weblog escrita en php. b2 utiliza MySQL como backend.

2. Descripcion.

"b2 0.6.1 con ljupdate" permite la ejecucion remota de comandos en ./b2-include/b2functions.php.
Un atacante puede inyectar una url en $b2inc y obtener la ejecucion de comandos con los privilegios
 del webserver (habitualmente nobody).

"b2 0.6.2 y anteriores" permiten la inyeccion de sql en ./blog.header.php. $posts no se convierte a 
entero, por lo que podemos inyectar sql en esta variable. En MySQL 4.x podemos utilizar UNION y 
subselects para obtener privilegios.

"b2 0.6.2 y anteriores" tienen un pequeño fallo. Los usuarios aburridos pueden obligar al servidor 
a leer un fichero remoto utilizando $b2inc en ./b2-include/b2menutop.php

3. Detalles

b2 0.6.1 con ljupdate.
en ./b2-include/b2functions.php:
=======================
<?php
(..)
require_once($b2inc."/lj_update.php");
?>
=======================

b2 0.6.2 y anteriores
en ./blog.header.php:
=======================
<?php
(..)
if ($posts)
 $posts_per_page=$posts;
(..)
$limits = ' LIMIT '.$posts_per_page;
(..)
$request = " SELECT $distinct * FROM $tableposts WHERE 1=1".$where." ORDER BY post_$orderby $limits";
(..)
$result = mysql_query($request);
?>
=======================

b2 0.6.2 y anteriores
en ./b2-include/b2menutop.php:
=======================
<?php
(..)
$menu = file($b2inc."/b2menutop.txt");
(..)
?>
=======================

4. Respuesta del fabricante

20-04-2003: Enviado email.
31-05-2003: Sin respuesta.

==============================
[ FraMe - frame at kernelpanik.org ]
[ URL - http://frame.lifefromthenet.com ]
[ Kernelpanik - http://www.kernelpanik.org ]
[ PGP KeyID - 0xFA81AC9C ]
==============================