Ejecucion remota de codigo en Vignette.


El Vignette CDS en su instalacion por defecto aņade una entrada al servidor web bajo el
que corre (en este caso apache) para habilitar la ejecucion de Server Side Includes (SSI),
base del funcionamiento del mismo.

El problema esta en que esto habilita una funcionalidad aņadida: si se insertan SSIs en
cualquier campo de entrada, como puede ser un buscador, o cualquier otro formulario, estos
seran ejecutados conforme sean devueltos al apache para su posterior representacion.

Los requisitos para esto son:

- CDS activado.
- Cualquier campo que admita texto, sea procesado por Vignette y posteriormente devuelto
al usuario.
- Que en ninguna fase intermedia se filtren los resultados.

Aunque parezcan muchos requisitos, esta vulnerabilidad esta o ha estado presente en
numerosos sitios importantes que usan Vignette.

La respuesta oficial de Vignette ha sido que esto es una vulnerabilidad de Apache y que no
se hacen responsables.

Para verificar esta vulnerabilidad, basta con introducir 

<!--# 

en cualquier campo que creamos vulnerable.

Si en la pagina siguiente vemos en algun lado [an error ocurred while processing this
directive] el sitio es vulnerable.

Una forma de desactivar esto es cambiando el Options Include por IncludeNOEXEC en el
httpd.conf. No obstante, esto solo lo corrige parcialmente por lo que es recomendable
filtrar toda entrada y salida de datos hasta que Vignette se responsabilice de la
vulnerabilidad.

Saludos,

Gestalt

==========================================
[ KernelPaniK 2002 - www.kernelpanik.org ]
[ mailto - labs@kernelpanik.org          ]
==========================================