Межсайтовый скриптинг в Joomla JComments Component

[bzzik]

Так и есть?

http://www.xakep.ru/post/52147/default.asp

Взято отсюда

[Darkick]

скрипт у меня не вылез, а вот комментарий пострадал.
Видать токен не применён. Надо смотреть. Но, думаю, smart это быстро сейчас залатает.

[smart]

Ну они как всегда занимаются перепечаткой информации, без указания первоисточника, без указания корректной версии и т.д. Ошибка действительно присутствует в JComments 2.1 и была исправлена в версии JComments 2.2, о чем было написано на сайте High-Tech Bridge SA, которые и обнаружили данную проблему 4 мая.

Сама по себя уязвимость не является критической, потому, что в подавляющем большинстве случаев, доступ к административной панели имеют только доверенные пользователи, то и воспользоваться ей как бы некому. При этом я отнюдь не отрицаю факта данной уязвимости. В конце концов одна уязвимость за 3 года это не так уж и плохо, хоть лучше бы и ее не было...

В общем причин для волнений я тут не вижу, но установить обновление до JComments 2.2 рекомендую, тем более, что помимо этой проблемы, исправлено еще несколько десятков других, не связанных с безопасностью, но тоже важных.

[bzzik]

Все ясно Я просто решил удостовериться, что все хорошо

[smart]

Кстати мне очень понравилась политика High-Tech Bridge SA - они обнаружили проблему 4 мая, сразу же связались со мной, показали детальное описание проблемы, и уведомили, что эксплоит  будет опубликован через 14 дней. Т.е. фактически было дано 2 недели на исправление ошибки. Весьма этично и цивилизовано. И у авторов есть шанс исправиться и у пользователей есть время обновиться... Опубликовали они 18 мая - через 5 дней после выхода JComments 2.2, что мне кажется вполне достаточно для обновления...

[sova]

А нельзя ли все таки заплатку для  JComments 2.1? По ряду причин не хотелось бы обновляться.

[smart]

Можно и заплатку...

Файл /administrator/components/com_jcomments/admin.jcomments.php

Код

		$row->bind($_POST);
 
		if ($row->userid == 0 && $row->username != $row->name) {
			$row->username = $row->name;
		}
 
		// handle magic quotes compatability
		if (get_magic_quotes_gpc() == 1) {
			$row->title = stripslashes($row->title);	
			$row->comment = stripslashes($row->comment);	
		}
 
		$row->comment = JCommentsText::nl2br($row->comment);
		$row->comment = $bbcode->filter($row->comment);
		$row->store();
		$row->checkin();
 
		JCommentsCache::cleanCache('com_jcomments');
		JCommentsCache::cleanCache($row->object_group);
 

заменяем на

Код

		if ($row->load($id)) {
 
			$row->homepage = trim(strip_tags(JCommentsInput::getVar('homepage')));
			$row->email = trim(strip_tags(JCommentsInput::getVar('email')));
			$row->title = trim(strip_tags(JCommentsInput::getVar('title')));
			$row->comment = trim(strip_tags(JCommentsInput::getVar('comment')));
			$row->published = (int) JCommentsInput::getVar('published');
 
			if ($row->userid == 0) {
				$row->name = strip_tags(JCommentsInput::getVar('name'));
				$row->name = preg_replace("/[\'\"\>\<\(\)\[\]]?+/i", '', $row->name);
 
				if ($row->username != $row->name) {
					$row->username = $row->name;
				}
 
				$row->username = preg_replace("/[\'\"\>\<\(\)\[\]]?+/i", '', $row->username);
			} else {
				if ($row->name == '' || $row->username == '' || $row->email == '') {
					$user = JCommentsFactory::getUser($row->userid);
					$row->name = $row->name == '' ? $user->name : $row->name;
					$row->username = $row->username == '' ? $user->username : $row->username;
					$row->email = $row->email == '' ? $user->email : $row->email;
				}
			}
 
			// handle magic quotes compatibility
			if (get_magic_quotes_gpc() == 1) {
				$row->title = stripslashes($row->title);
				$row->comment = stripslashes($row->comment);
			}
 
			$row->comment = JCommentsText::nl2br($row->comment);
			$row->comment = $bbcode->filter($row->comment);
			$row->store();
			$row->checkin();
 
			JCommentsCache::cleanCache('com_jcomments');
			JCommentsCache::cleanCache($row->object_group);
		}

Файл /administrator/components/com_jcomments/admin.jcomments.subcription.php

Код

		$row->bind($_POST);

заменяем на

Код

		if ($id) {
			$row->load($id);
		}
 
		$row->object_id = (int) JCommentsInput::getVar('object_id');
		$row->object_group = JCommentsSecurity::clearObjectGroup(JCommentsInput::getVar('object_group'));
		$row->name = preg_replace("/[\'\"\>\<\(\)\[\]]?+/i", '', strip_tags(JCommentsInput::getVar('name')));
		$row->email = trim(strip_tags(JCommentsInput::getVar('email')));
 

Файл /administrator/components/com_jcomments/admin.jcomments.custombbcodes.php

Код

		$row->button_acl = implode(',', $acl);

заменяем на

Код

		$row->name = trim(strip_tags($row->name));
		$row->button_acl = implode(',', $acl);
 
		$row->button_open_tag = trim(strip_tags($row->button_open_tag));
		$row->button_close_tag = trim(strip_tags($row->button_open_tag));
		$row->button_title = trim(strip_tags($row->button_title));
		$row->button_prompt = trim(strip_tags($row->button_prompt));
		$row->button_image = trim(strip_tags($row->button_image));
		$row->button_css = trim(strip_tags($row->button_css));

Этого вполне достаточно. А что касается нежелания обновляться - это вы зря, я вот скоро выпущу следующую версию, и поддержку 2.1.0.0 начну сворачивать, ибо 3 версии поддерживать просто не реально. Если что-то в версии 2.2.0.0 не нравится или не устраивает - скажите, у нас есть отдельная тема для этого, и целый раздел для пожеланий...

[sova]

К функционалу замечаний нет. Все пашет как швейцарские часики. СПАСИБО !
Тут проблема в шаблонах и в MyBlog. Для 2.1 были уже наработки (спасибо ребятам), но они к сожалению под 2.2 не работают.
И вопрос внедрения в MyBlog версии 2.2 пока остается открытым.

[smart]

Я не совсем понимаю, чем снаружи 2.2 отличается от 2.1, что это создает какие-то проблемы при интеграции... если таковые проблемы есть - надо создавать отдельную тему, и объяснять, что именно мешает сейчас интеграции (я сейчас работаю над новой версией, выпущу намного быстрее чем 2.2, поэтому могу успеть внести нужные правки).