XMCO : Activation automatique d’un compte créé sur le CMS
mai 2009 par XMCO PARTNERS
EZSA-2009-004 : eZ Publish weak activation token for new user
– Date : 06 Mai 2009
– Plateforme : Toutes
– Programme : eZ Publish
– Gravité : Moyenne
– Exploitation : Distante
– Dommage : Contournement de sécurité
– Description :
Une vulnérabilité a été corrigée au sein du système de gestion de contenu web (CMS) eZ Publish. Un attaquant distant était en mesure de contourner les protections mises en place.
La faille de sécurité résultait d’un manque d’entropie d’un paramètre utilisé lors de la création d’un compte. En effet, lors de la création d’un compte, un "token" (chaîne de texte censée être aléatoire) était attribué à un utilisateur et en fonction de la configuration du framework, un email était envoyé avec une URL contenant ce token.
Le compte devait alors être validé par l’utilisateur en suivant le lien, soit par un administrateur.
Cependant, ce token était généré à partir de l’empreinte MD5 du temps actuel couplé à l’identifiant de l’utilisateur : $hash = md5( time() . $user->attribute( ’contentobject_id’ ) ) ; et était donc prédictible.
Ainsi, un utilisateur malicieux voulant activer son compte sur l’application pouvait envoyer de nombreuses requêtes HTTP afin d’avoir un compte actif sur le site internet.
Note : un code d’exploitation est disponible (voir bulletin n°1229335340).
– Vulnérable :
* eZ Publish versions 4.0.0 à 4.0.3
– Référence :
– Correction :
La version 4.0.4 disponible sur le site de l’éditeur corrige cette vulnérabilité.
http://ez.no/download/ez_publish/ez_publish_4_stable_releases/4_0/4_0_4
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1241599672