Sicherheitswarnung vTiger: SOAP
Auf Grund einer Customerportal-Anpassung für vTiger bin ich über folgende Sicherheitsschwachstelle gestolpert.
Die SOAP-Schnittstelle kann auch ohne Authentifizierung genutzt werden.
Bei einer Standardinstallation ist die SOAP-Schnittstelle stets verfügbar, so auch bei der Demoinstallation von vTiger. Die WSDL Beschreibung der Schnittstelle des Customerportals ist verfügbar. Das entspricht zwar der SOAP üblichen Konventionen (einen Webservice mit Schnittstelle veröffentlichen), zeigt jedoch auch jedem potentiellen Angreifer wie das System anzusprechen ist.
Der Dienst besitzt zwar eine authenticate_user()-Schnittstelle, diese ist jedoch unabhängig von allen anderen Datenoperationen.
Die Schnittstelle ist auch hier (aufbereitet) einsehbar.
Betroffen sind auch das Outlook-Plugin (wie eigentlich alle SOAP-Schnittstellen zu vTiger).
Damit sind alle Kontakte, Organisationen usw. auslesbar und eventuell sogar veränderbar.
Wir werden das weiter untersuchen, bzw. ein technisches Exploit entwickeln um die Schwachstelle zu überprüfen.
Wir raten daher, die SOAP-Schnittstelle komplett zu deaktivieren. Das bedeutet den {vtiger}/soap am besten ganz aus dem System zu entfernen!
Die SOAP-Schnittstelle kann auch ohne Authentifizierung genutzt werden.
Bei einer Standardinstallation ist die SOAP-Schnittstelle stets verfügbar, so auch bei der Demoinstallation von vTiger. Die WSDL Beschreibung der Schnittstelle des Customerportals ist verfügbar. Das entspricht zwar der SOAP üblichen Konventionen (einen Webservice mit Schnittstelle veröffentlichen), zeigt jedoch auch jedem potentiellen Angreifer wie das System anzusprechen ist.
Der Dienst besitzt zwar eine authenticate_user()-Schnittstelle, diese ist jedoch unabhängig von allen anderen Datenoperationen.
Die Schnittstelle ist auch hier (aufbereitet) einsehbar.
Betroffen sind auch das Outlook-Plugin (wie eigentlich alle SOAP-Schnittstellen zu vTiger).
Damit sind alle Kontakte, Organisationen usw. auslesbar und eventuell sogar veränderbar.
Wir werden das weiter untersuchen, bzw. ein technisches Exploit entwickeln um die Schwachstelle zu überprüfen.
Wir raten daher, die SOAP-Schnittstelle komplett zu deaktivieren. Das bedeutet den {vtiger}/soap am besten ganz aus dem System zu entfernen!
posted by Seb at 08:45
4 Comments:
kannst gleich ma bei uns aufm pyradonis fixn sebbel :E
is scho alt:) http://forums.vtiger.com/viewtopic.php?p=19128#19128
Ja das hab ich gesehen und teilweise ist das auch gefixt, im Thunderbird-Plugin z.B.
Das Customerportal ist aber auf jeden Fall (noch) komplett offen.
Das Post ist immerhin auch schon 1 1/2 Jahre alt und eine Sicherheitswarnung oder wenigstens ein "disable" per default ist auch nicht vorgesehen.
Das ist fahrlässig meiner Meinung nach!
Wahrscheinlich erst mit einem öffentlichen Exploit (hier URL eingeben und alles auslesen) wird sich der Problematik mal angenommen, weil dann tut es richtig weh.. :-(
ja das ist leider fahrlässig.... es wundert einen schon manchmal, wie die Inder arbeiten, gell?
Kommentar veröffentlichen
<< Home