Численні уразливості в EJBCA
23:56 10.03.201201.02.2012
У січні, 17.01.2012, під час аудиту сайта свого клієнта, я знайшов численні уразливості в системі Enterprise Java Beans Certificate Authority (EJBCA), зокрема Cross-Site Scripting, Brute Force та Abuse of Functionality. EJBCA - це PKI сервер. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб системи.
10.03.2012
XSS:
http://site/ejbca/publicweb/webdist/certdist?cmd=revoked&issuer=%3Cscript%3Ealert(document.cookie)%3C/script%3E&serno=1
Brute Force:
http://site/ejbca/enrol/browser.jsp
http://site/ejbca/enrol/server.jsp
http://site/ejbca/enrol/keystore.jsp
http://site/ejbca/enrol/cvcert.jsp
Abuse of Functionality:
У вищезгаданих чотирьох фунціоналах можливий підбор логінів. В даних формах виводяться різні повідомлення при коректному і некоректному логіні, що дозволяє виявити логіни користувачів.
Уразливі EJBCA 4.0.7 та попередні версії. Розробники виправили дану XSS уразливість в новій версії EJBCA 4.0.8, що вийшла 09.02.2012, але при цьому вони не стали виправляти BF і AoF уразливості, вважаючи, що вони низького ризику. Але я порадив їм виправити їх також.