Коментарі для запису: Уразливості в FCKeditor http://websecurity.com.ua/3296/ Wed, 22 Apr 2026 09:35:03 +0000 http://wordpress.org/?v=MustLive Edition від: MustLive http://websecurity.com.ua/3296/#comment-297777 Mon, 06 Jul 2009 15:21:16 +0000 http://websecurity.com.ua/3296/#comment-297777 <blockquote>Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.</blockquote> Раз Adobe розмістила даний веб додаток в своєму продукті, то вона й повинна також відповідати за його безпеку. Вона несе повну відповідальність за все, що вона постачає з власним сервером і тому повинна робити відповідні (безпечні) налаштування в усіх додатках, що постачаються (в даному випадку вона мала відключити конектори по умовчанню). До того ж, коли розробнику FCKeditor я повідомляв про Arbitrary File Upload дірку в його додатку, він зазначив, що по дефолту в FCKeditor йдуть достатні налаштування безпеки (хоча я звернув його увагу, що насправді вони недостатні). Тому він зняв с себе будь-яку відповідальність за те, що інши виробники, які постачають FCKeditor разом зі своїм софтом, змінюють дефолтні налаштування на свої, часто менш безпечні. І я часто в себе в новинах писав про експлоіти у різних веб додатках через вбудований в них FCKeditor (з увімкнутим аплоадером). <blockquote>Буду чекати повідомлень (може навіть ще цього року ;) )</blockquote> Явно вже наступного року ;-). Бо до липневих дірок я дійду лише в наступному році.

Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.

Раз Adobe розмістила даний веб додаток в своєму продукті, то вона й повинна також відповідати за його безпеку. Вона несе повну відповідальність за все, що вона постачає з власним сервером і тому повинна робити відповідні (безпечні) налаштування в усіх додатках, що постачаються (в даному випадку вона мала відключити конектори по умовчанню).

До того ж, коли розробнику FCKeditor я повідомляв про Arbitrary File Upload дірку в його додатку, він зазначив, що по дефолту в FCKeditor йдуть достатні налаштування безпеки (хоча я звернув його увагу, що насправді вони недостатні). Тому він зняв с себе будь-яку відповідальність за те, що інши виробники, які постачають FCKeditor разом зі своїм софтом, змінюють дефолтні налаштування на свої, часто менш безпечні. І я часто в себе в новинах писав про експлоіти у різних веб додатках через вбудований в них FCKeditor (з увімкнутим аплоадером).

Буду чекати повідомлень (може навіть ще цього року ;) )

Явно вже наступного року ;-) . Бо до липневих дірок я дійду лише в наступному році.

]]> від: trovich http://websecurity.com.ua/3296/#comment-297718 Sun, 05 Jul 2009 18:45:57 +0000 http://websecurity.com.ua/3296/#comment-297718 Взагалі, в комплекті ColdFusion йде багато бібліотек, вони використовуються для AJAX-функціоналу, там дуже просто можна багато речей робити, скажімо grid парою CFML теґів. Серед бібліотек YUI та Spry, оновлюються рідко, разом з оновленнями самого ColdFusion-серверу, і напевне мають вразливості. >дивно, що Адоб тільки зараз задумалась про даний вектор атак Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди. > Сайт, на який ти послався, дірявий Буду чекати повідомлень (може навіть ще цього року ;) ), повідомлятимемо розробників про дірки, хай латають. Взагалі, в комплекті ColdFusion йде багато бібліотек, вони використовуються для AJAX-функціоналу, там дуже просто можна багато речей робити, скажімо grid парою CFML теґів. Серед бібліотек YUI та Spry, оновлюються рідко, разом з оновленнями самого ColdFusion-серверу, і напевне мають вразливості.

>дивно, що Адоб тільки зараз задумалась про даний вектор атак

Не знаю наскільки дивно, адже це все-таки 3rd-party продукти, підтримкою котрих займаються відповідні люди.

> Сайт, на який ти послався, дірявий

Буду чекати повідомлень (може навіть ще цього року ;) ), повідомлятимемо розробників про дірки, хай латають.

]]> від: MustLive http://websecurity.com.ua/3296/#comment-297716 Sun, 05 Jul 2009 18:25:58 +0000 http://websecurity.com.ua/3296/#comment-297716 <strong>Сергій</strong>, спасибі за лінку. Буду знати, що FCKeditor постачається разом з ColdFusion (та ще й з увімкнутим за умовчанням конектором). Зазначу, що всі уразливості які я знаходив і оприлюднив (чи ще оприлюдню) в FCKeditor, вони працюють на всіх платформах, в тому числі й ColdFusion. Як вищенаведені Directory Traversal та Cross-Site Scripting уразливості, так і раніше мною оприлюднені дірки в FCKeditor. Тому користувачам даного редактору потрібно слідкувати за його безпекою на будь-яких платформах (причому вже давно, так як я ще 23.09.2008 писав про <a href="http://websecurity.com.ua/2466/" rel="nofollow">Arbitrary File Upload уразливість в FCKeditor</a>). Дуже дивно, що Адоб тільки зараз задумалась про даний вектор атак і "пообіцяла виправити", коли я ще в вересні 2008 про це писав. P.S. Сайт, на який ти послався, дірявий :-). І він ще з'явиться в моїх новинах. Сергій, спасибі за лінку. Буду знати, що FCKeditor постачається разом з ColdFusion (та ще й з увімкнутим за умовчанням конектором).

Зазначу, що всі уразливості які я знаходив і оприлюднив (чи ще оприлюдню) в FCKeditor, вони працюють на всіх платформах, в тому числі й ColdFusion. Як вищенаведені Directory Traversal та Cross-Site Scripting уразливості, так і раніше мною оприлюднені дірки в FCKeditor.

Тому користувачам даного редактору потрібно слідкувати за його безпекою на будь-яких платформах (причому вже давно, так як я ще 23.09.2008 писав про Arbitrary File Upload уразливість в FCKeditor). Дуже дивно, що Адоб тільки зараз задумалась про даний вектор атак і “пообіцяла виправити”, коли я ще в вересні 2008 про це писав.

P.S.

Сайт, на який ти послався, дірявий :-) . І він ще з’явиться в моїх новинах.

]]> від: trovich http://websecurity.com.ua/3296/#comment-297678 Sun, 05 Jul 2009 07:20:27 +0000 http://websecurity.com.ua/3296/#comment-297678 До купи, теж <a href="http://cfug.org.ua/post.cfm/vrazlyvist-u-fckeditor-dlya-coldfusion-8-0-1" rel="nofollow">про факедітор</a> До купи, теж про факедітор

]]>