url_de_base() renvoie une url absolue #401

Closed
opened 17 years ago by miros · 18 comments
miros commented 17 years ago

La fonction url_de_base() dans utils.php renvoie une url absolue calculée à partir de $_SERVER['HTTP_HOST']. C'est pénalisant pour des sites SPIP situés derrière un reverse proxy par exemple.

La fonction url_de_base() dans utils.php renvoie une url absolue calculée à partir de $_SERVER['HTTP_HOST']. C'est pénalisant pour des sites SPIP situés derrière un reverse proxy par exemple.
Owner

Détaille un peu ?
Statut changé à En cours

Détaille un peu ? **Statut changé à En cours**
Poster

Voici un patch qui utilise l'adresse publique du site si on passe par un reverse proxy, celà pourrait-t-il convenir ?

--- utils.php   2006-06-26 12:10:33.000000000 +0200
+++ _utils.php  2006-06-26 12:10:16.000000000 +0200
`` -687,6 +687,11 ``

        static $url;

+       if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
+               $a = $GLOBALS['meta']['adresse_site'];
+               return (substr($a,-1) == '/')?$a:$a.'/';
+       }
+
        if ($url)
                return $url;


Statut changé à Commentaire

Voici un patch qui utilise l'adresse publique du site si on passe par un reverse proxy, celà pourrait-t-il convenir ? <pre> --- utils.php 2006-06-26 12:10:33.000000000 +0200 +++ _utils.php 2006-06-26 12:10:16.000000000 +0200 `` -687,6 +687,11 `` static $url; + if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) { + $a = $GLOBALS['meta']['adresse_site']; + return (substr($a,-1) == '/')?$a:$a.'/'; + } + if ($url) return $url; </pre> **Statut changé à Commentaire**
Owner

Oui mais non : HTTP_X_FORWARDED_HOST peut provenir d'un proxy externe (celui d'AOL par exemple)... pourquoi ne pas hacker $_SERVER['HTTP_HOST'] dans mes_options ?

Oui mais non : HTTP_X_FORWARDED_HOST peut provenir d'un proxy externe (celui d'AOL par exemple)... pourquoi ne pas hacker $_SERVER['HTTP_HOST'] dans mes_options ?
Poster

Ce qui peut provenir d'un proxy externe, c'est le HTTP_X_FORWARDED_FOR qui indique l'ip du client derrière le proxy. Ensuite, chez AOL, je ne sais pas comment ça se passe...

Hacker le $_SERVER['HTTP_HOST'] ne serait pas suffisant : le path réel peut changer, par exemple /spip/ peut être réécrit en /spip/version1.9/. Il faudrait donc bidouiller la variable globale $REQUEST_URI, je ne le sent pas trop.

Ce qui peut provenir d'un proxy externe, c'est le HTTP_X_FORWARDED_FOR qui indique l'ip du client derrière le proxy. Ensuite, chez AOL, je ne sais pas comment ça se passe... Hacker le $_SERVER['HTTP_HOST'] ne serait pas suffisant : le path réel peut changer, par exemple _/spip/_ peut être réécrit en _/spip/version1.9/_. Il faudrait donc bidouiller la variable globale $REQUEST_URI, je ne le sent pas trop.
Owner

Au temps pour moi !
Ton patch est intégré en r6997.
Statut changé à Fermé

Au temps pour moi ! Ton patch est intégré en r6997. **Statut changé à Fermé**
Owner

voir aussi #578

voir aussi #578
Owner

Tu n'as pas donné ton email... merci de vérifier si le commit r7483 n'a pas cassé la compatibilité chez toi.

Tu n'as pas donné ton email... merci de vérifier si le commit r7483 n'a pas cassé la compatibilité chez toi.
Poster

Je confirme, ça a tout cassé. On a réellement besoin de $GLOBALS['meta']['adresse_site'] à cause du reverse proxy qui réécrit les URLs.

Je confirme, ça a tout cassé. On a réellement besoin de $GLOBALS['meta']['adresse_site'] à cause du reverse proxy qui réécrit les URLs.
Poster

... donc je réouvre le ticket.
Statut changé à Commentaire

... donc je réouvre le ticket. **Statut changé à Commentaire**
Poster

Même problème constaté chez nous. Nous accédons à une instance spip depuis un intranet et un extranet, derrière un reverse proxy.

Lors de l'accès via l'extranet, et notamment lors du passage de la partie privée à la partie public, Spip renvoie l'adresse interne au lieu de renvoyer une adresse relative.

Est-ce que par hasard il serait possible de passer les URL internes à spip en relatif ? ou alors de faire fonctionner une autre instance de spip configurer avec l'adresse externe mais pluguer sur la même base de données que l'instance interne ?

Bref :)

Même problème constaté chez nous. Nous accédons à une instance spip depuis un intranet et un extranet, derrière un reverse proxy. Lors de l'accès via l'extranet, et notamment lors du passage de la partie privée à la partie public, Spip renvoie l'adresse interne au lieu de renvoyer une adresse relative. Est-ce que par hasard il serait possible de passer les URL internes à spip en relatif ? ou alors de faire fonctionner une autre instance de spip configurer avec l'adresse externe mais pluguer sur la même base de données que l'instance interne ? Bref :)
Owner

Je ne sais pas; il faut trouver une modif qui résolve ici sans casser #578

Je ne sais pas; il faut trouver une modif qui résolve ici sans casser #578
Owner
Voir aussi http://forum.spip.org/fr_193072.html
Owner

En tous cas c'est facile de mettre dans le fichier mes_options.php :


l'idéal serait que SPIP détecte tout seul cette valeur, mais en cas de blocage...
En tous cas c'est facile de mettre dans le fichier mes_options.php : <pre> l'idéal serait que SPIP détecte tout seul cette valeur, mais en cas de blocage...
Owner

bon ben, si ça n'intéresse plus personne... on ferme. c'est juste un pb de doc au fond : puisqu'il suffit de hacker $_SERVER

Statut changé à Fermé

bon ben, si ça n'intéresse plus personne... on ferme. c'est juste un pb de doc au fond : puisqu'il suffit de hacker $_SERVER **Statut changé à Fermé**

The code added to SPIP in r6997 to close this ticket opens a security hole in SPIP. A patch is attached to solve the issue.

The problem arrises when the code in question uses the value of $_SERVER['HTTP_X_FORWARDED_HOST'] without validation. This variable (like many of the $SERVER['HTTP*'] variables) is set by Apache/PHP based on input supplied by the client making the request: it may not be correct (or even valid) and must not be used without checking. This allows a malicious client to make requests to SPIP that may result in SPIP generating URLs containing arbitrary hostnames chosen by the attacker and using these malicious URLs in pages. Combined with SPIP's caching behaviour, this allows the malicious client to deliver malicious content to other users and, potentially, to intercept sensitive data and make cross-site scripting attacks.

In current releases and r12786 this allows an attacker to redirect the SPIP login form to a site under their control!!!
Statut changé à Commentaire

The code added to SPIP in r6997 to close this ticket opens a security hole in SPIP. A patch is attached to solve the issue. The problem arrises when the code in question uses the value of $_SERVER['HTTP_X_FORWARDED_HOST'] without validation. This variable (like many of the $_SERVER['HTTP_*'] variables) is set by Apache/PHP based on input supplied by the client making the request: it may not be correct (or even valid) and must not be used without checking. This allows a malicious client to make requests to SPIP that may result in SPIP generating URLs containing arbitrary hostnames chosen by the attacker and using these malicious URLs in pages. Combined with SPIP's caching behaviour, this allows the malicious client to deliver malicious content to other users and, potentially, to intercept sensitive data and make cross-site scripting attacks. In current releases and r12786 this allows an attacker to redirect the SPIP login form to a site under their control!!! **Statut changé à Commentaire**

Traduction du post de Thomas, qui est très concerné par le problème donc me presse de traduire ;)

Le code qui a été ajouté à SPIP r6997 a en fait ouvert un nouveau problème de sécurité. J'ai attaché le patch qui résoud ce problème.

Le problème se situe dans la partie du code qui utilise la variable $_SERVER['HTTP_X_FORWARDED_HOST']. Cette variable est définie à l'origine par Apache/PHP et se base simplement sur ce qui est envoyé par le navigateur. Peu importe la valeur envoyée ; elle n'est ni vérifiée ni validée. Ainsi n'importe qui peu envoyer des requêtes à SPIP qui générera des URLS non appropriées. Ceci combiné avec le système de cache de SPIP, cela permet à quiconque de glisser du contenu offensif et éventuellement d'intercepter des données sensibles (XSS).

Dans la version actuelle de SPIP r12786, un hacker peut rediriger un formulaire de login sur son propre site!!!

## Traduction du post de Thomas, qui est très concerné par le problème donc me presse de traduire ;) Le code qui a été ajouté à SPIP r6997 a en fait ouvert un nouveau problème de sécurité. J'ai attaché le patch qui résoud ce problème. Le problème se situe dans la partie du code qui utilise la variable $_SERVER['HTTP_X_FORWARDED_HOST']. Cette variable est définie à l'origine par Apache/PHP et se base simplement sur ce qui est envoyé par le navigateur. Peu importe la valeur envoyée ; elle n'est ni vérifiée ni validée. Ainsi n'importe qui peu envoyer des requêtes à SPIP qui générera des URLS non appropriées. Ceci combiné avec le système de cache de SPIP, cela permet à quiconque de glisser du contenu offensif et éventuellement d'intercepter des données sensibles (XSS). Dans la version actuelle de SPIP r12786, un hacker peut rediriger un formulaire de login sur son propre site!!!
Owner
 **Statut changé à Fermé**
<pre> **Statut changé à Fermé**
Owner

cf #1689 et #578

cf #1689 et #578
Sign in to join this conversation.
No Milestone
No project
No Assignees
3 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.