La fonction url_de_base() dans utils.php renvoie une url absolue calculée à partir de $_SERVER['HTTP_HOST']. C'est pénalisant pour des sites SPIP situés derrière un reverse proxy par exemple.
La fonction url_de_base() dans utils.php renvoie une url absolue calculée à partir de $_SERVER['HTTP_HOST']. C'est pénalisant pour des sites SPIP situés derrière un reverse proxy par exemple.
Oui mais non : HTTP_X_FORWARDED_HOST peut provenir d'un proxy externe (celui d'AOL par exemple)... pourquoi ne pas hacker $_SERVER['HTTP_HOST'] dans mes_options ?
Oui mais non : HTTP_X_FORWARDED_HOST peut provenir d'un proxy externe (celui d'AOL par exemple)... pourquoi ne pas hacker $_SERVER['HTTP_HOST'] dans mes_options ?
Ce qui peut provenir d'un proxy externe, c'est le HTTP_X_FORWARDED_FOR qui indique l'ip du client derrière le proxy. Ensuite, chez AOL, je ne sais pas comment ça se passe...
Hacker le $_SERVER['HTTP_HOST'] ne serait pas suffisant : le path réel peut changer, par exemple /spip/ peut être réécrit en /spip/version1.9/. Il faudrait donc bidouiller la variable globale $REQUEST_URI, je ne le sent pas trop.
Ce qui peut provenir d'un proxy externe, c'est le HTTP_X_FORWARDED_FOR qui indique l'ip du client derrière le proxy. Ensuite, chez AOL, je ne sais pas comment ça se passe...
Hacker le $_SERVER['HTTP_HOST'] ne serait pas suffisant : le path réel peut changer, par exemple _/spip/_ peut être réécrit en _/spip/version1.9/_. Il faudrait donc bidouiller la variable globale $REQUEST_URI, je ne le sent pas trop.
Même problème constaté chez nous. Nous accédons à une instance spip depuis un intranet et un extranet, derrière un reverse proxy.
Lors de l'accès via l'extranet, et notamment lors du passage de la partie privée à la partie public, Spip renvoie l'adresse interne au lieu de renvoyer une adresse relative.
Est-ce que par hasard il serait possible de passer les URL internes à spip en relatif ? ou alors de faire fonctionner une autre instance de spip configurer avec l'adresse externe mais pluguer sur la même base de données que l'instance interne ?
Bref :)
Même problème constaté chez nous. Nous accédons à une instance spip depuis un intranet et un extranet, derrière un reverse proxy.
Lors de l'accès via l'extranet, et notamment lors du passage de la partie privée à la partie public, Spip renvoie l'adresse interne au lieu de renvoyer une adresse relative.
Est-ce que par hasard il serait possible de passer les URL internes à spip en relatif ? ou alors de faire fonctionner une autre instance de spip configurer avec l'adresse externe mais pluguer sur la même base de données que l'instance interne ?
Bref :)
En tous cas c'est facile de mettre dans le fichier mes_options.php :
l'idéal serait que SPIP détecte tout seul cette valeur, mais en cas de blocage...
En tous cas c'est facile de mettre dans le fichier mes_options.php :
<pre>
l'idéal serait que SPIP détecte tout seul cette valeur, mais en cas de blocage...
The code added to SPIP in r6997 to close this ticket opens a security hole in SPIP. A patch is attached to solve the issue.
The problem arrises when the code in question uses the value of $_SERVER['HTTP_X_FORWARDED_HOST'] without validation. This variable (like many of the $SERVER['HTTP*'] variables) is set by Apache/PHP based on input supplied by the client making the request: it may not be correct (or even valid) and must not be used without checking. This allows a malicious client to make requests to SPIP that may result in SPIP generating URLs containing arbitrary hostnames chosen by the attacker and using these malicious URLs in pages. Combined with SPIP's caching behaviour, this allows the malicious client to deliver malicious content to other users and, potentially, to intercept sensitive data and make cross-site scripting attacks.
In current releases and r12786 this allows an attacker to redirect the SPIP login form to a site under their control!!! Statut changé à Commentaire
The code added to SPIP in r6997 to close this ticket opens a security hole in SPIP. A patch is attached to solve the issue.
The problem arrises when the code in question uses the value of $_SERVER['HTTP_X_FORWARDED_HOST'] without validation. This variable (like many of the $_SERVER['HTTP_*'] variables) is set by Apache/PHP based on input supplied by the client making the request: it may not be correct (or even valid) and must not be used without checking. This allows a malicious client to make requests to SPIP that may result in SPIP generating URLs containing arbitrary hostnames chosen by the attacker and using these malicious URLs in pages. Combined with SPIP's caching behaviour, this allows the malicious client to deliver malicious content to other users and, potentially, to intercept sensitive data and make cross-site scripting attacks.
In current releases and r12786 this allows an attacker to redirect the SPIP login form to a site under their control!!!
**Statut changé à Commentaire**
Traduction du post de Thomas, qui est très concerné par le problème donc me presse de traduire ;)
Le code qui a été ajouté à SPIP r6997 a en fait ouvert un nouveau problème de sécurité. J'ai attaché le patch qui résoud ce problème.
Le problème se situe dans la partie du code qui utilise la variable $_SERVER['HTTP_X_FORWARDED_HOST']. Cette variable est définie à l'origine par Apache/PHP et se base simplement sur ce qui est envoyé par le navigateur. Peu importe la valeur envoyée ; elle n'est ni vérifiée ni validée. Ainsi n'importe qui peu envoyer des requêtes à SPIP qui générera des URLS non appropriées. Ceci combiné avec le système de cache de SPIP, cela permet à quiconque de glisser du contenu offensif et éventuellement d'intercepter des données sensibles (XSS).
Dans la version actuelle de SPIP r12786, un hacker peut rediriger un formulaire de login sur son propre site!!!
## Traduction du post de Thomas, qui est très concerné par le problème donc me presse de traduire ;)
Le code qui a été ajouté à SPIP r6997 a en fait ouvert un nouveau problème de sécurité. J'ai attaché le patch qui résoud ce problème.
Le problème se situe dans la partie du code qui utilise la variable $_SERVER['HTTP_X_FORWARDED_HOST']. Cette variable est définie à l'origine par Apache/PHP et se base simplement sur ce qui est envoyé par le navigateur. Peu importe la valeur envoyée ; elle n'est ni vérifiée ni validée. Ainsi n'importe qui peu envoyer des requêtes à SPIP qui générera des URLS non appropriées. Ceci combiné avec le système de cache de SPIP, cela permet à quiconque de glisser du contenu offensif et éventuellement d'intercepter des données sensibles (XSS).
Dans la version actuelle de SPIP r12786, un hacker peut rediriger un formulaire de login sur son propre site!!!
La fonction url_de_base() dans utils.php renvoie une url absolue calculée à partir de $_SERVER['HTTP_HOST']. C'est pénalisant pour des sites SPIP situés derrière un reverse proxy par exemple.
Détaille un peu ?
Statut changé à En cours
Voici un patch qui utilise l'adresse publique du site si on passe par un reverse proxy, celà pourrait-t-il convenir ?
--- utils.php 2006-06-26 12:10:33.000000000 +0200 +++ _utils.php 2006-06-26 12:10:16.000000000 +0200 `` -687,6 +687,11 `` static $url; + if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) { + $a = $GLOBALS['meta']['adresse_site']; + return (substr($a,-1) == '/')?$a:$a.'/'; + } + if ($url) return $url;Statut changé à Commentaire
Oui mais non : HTTP_X_FORWARDED_HOST peut provenir d'un proxy externe (celui d'AOL par exemple)... pourquoi ne pas hacker $_SERVER['HTTP_HOST'] dans mes_options ?
Ce qui peut provenir d'un proxy externe, c'est le HTTP_X_FORWARDED_FOR qui indique l'ip du client derrière le proxy. Ensuite, chez AOL, je ne sais pas comment ça se passe...
Hacker le $_SERVER['HTTP_HOST'] ne serait pas suffisant : le path réel peut changer, par exemple /spip/ peut être réécrit en /spip/version1.9/. Il faudrait donc bidouiller la variable globale $REQUEST_URI, je ne le sent pas trop.
Au temps pour moi !
Ton patch est intégré en r6997.
Statut changé à Fermé
voir aussi #578
Tu n'as pas donné ton email... merci de vérifier si le commit r7483 n'a pas cassé la compatibilité chez toi.
Je confirme, ça a tout cassé. On a réellement besoin de $GLOBALS['meta']['adresse_site'] à cause du reverse proxy qui réécrit les URLs.
... donc je réouvre le ticket.
Statut changé à Commentaire
Même problème constaté chez nous. Nous accédons à une instance spip depuis un intranet et un extranet, derrière un reverse proxy.
Lors de l'accès via l'extranet, et notamment lors du passage de la partie privée à la partie public, Spip renvoie l'adresse interne au lieu de renvoyer une adresse relative.
Est-ce que par hasard il serait possible de passer les URL internes à spip en relatif ? ou alors de faire fonctionner une autre instance de spip configurer avec l'adresse externe mais pluguer sur la même base de données que l'instance interne ?
Bref :)
Je ne sais pas; il faut trouver une modif qui résolve ici sans casser #578
Voir aussi http://forum.spip.org/fr_193072.html
En tous cas c'est facile de mettre dans le fichier mes_options.php :
bon ben, si ça n'intéresse plus personne... on ferme. c'est juste un pb de doc au fond : puisqu'il suffit de hacker $_SERVER
Statut changé à Fermé
The code added to SPIP in r6997 to close this ticket opens a security hole in SPIP. A patch is attached to solve the issue.
The problem arrises when the code in question uses the value of $_SERVER['HTTP_X_FORWARDED_HOST'] without validation. This variable (like many of the $SERVER['HTTP*'] variables) is set by Apache/PHP based on input supplied by the client making the request: it may not be correct (or even valid) and must not be used without checking. This allows a malicious client to make requests to SPIP that may result in SPIP generating URLs containing arbitrary hostnames chosen by the attacker and using these malicious URLs in pages. Combined with SPIP's caching behaviour, this allows the malicious client to deliver malicious content to other users and, potentially, to intercept sensitive data and make cross-site scripting attacks.
In current releases and r12786 this allows an attacker to redirect the SPIP login form to a site under their control!!!
Statut changé à Commentaire
Traduction du post de Thomas, qui est très concerné par le problème donc me presse de traduire ;)
Le code qui a été ajouté à SPIP r6997 a en fait ouvert un nouveau problème de sécurité. J'ai attaché le patch qui résoud ce problème.
Le problème se situe dans la partie du code qui utilise la variable $_SERVER['HTTP_X_FORWARDED_HOST']. Cette variable est définie à l'origine par Apache/PHP et se base simplement sur ce qui est envoyé par le navigateur. Peu importe la valeur envoyée ; elle n'est ni vérifiée ni validée. Ainsi n'importe qui peu envoyer des requêtes à SPIP qui générera des URLS non appropriées. Ceci combiné avec le système de cache de SPIP, cela permet à quiconque de glisser du contenu offensif et éventuellement d'intercepter des données sensibles (XSS).
Dans la version actuelle de SPIP r12786, un hacker peut rediriger un formulaire de login sur son propre site!!!
cf #1689 et #578