Typo3 pdf_generator2 - injection de commande système

Oct
17 2011
Date 17-10-2011
Risque Elevé
Impact Exécution de commande système
Logiciel affecté Extension pdf_generator2 pour Typo3
Exploitable localement Non
Exploitable à distance Oui

Description

Dotsafe a découvert une vulnérabilité dans l'extension PDF_generator2 du CMS TYPO3 qui peut être utilisée par des personnes malveillantes pour exécuter des commandes systèmes à distance.

Les entrées passées via le paramètre GET "pdfversion" (quand le paramètre GET "ps2pdf" est à 1) ne sont pas vérifiées dans html2ps/html2ps.php avant d'être utilisées dans la commande php exec. La vulnérabilité peut permettre la prise de contrôle du site et de son contenu.

La vulnérabilité est confirmée dans la version 0.21.0. Les autres versions inférieures peuvent aussi être affectées.

Nous n'avons pas reçu de nouvelles de l'équipe de sécurité de Typo3 depuis un an, nous publions donc exceptionnellement les détails de cette vulnérabilité.

Details

./html2ps/html2ps.php:31
$g_config = array(
                  'cssmedia'      => isset($_REQUEST['cssmedia']) ? $_REQUEST['cssmedia'] : "screen",
                  'media'         => isset($_REQUEST['media']) ? $_REQUEST['media'] : "A4",
                  'scalepoints'   => isset($_REQUEST['scalepoints']),
                  'renderimages'  => isset($_REQUEST['renderimages']),
                  'renderfields'  => isset($_REQUEST['renderfields']),
                  'renderforms'   => isset($_REQUEST['renderforms']),
                  'pslevel'       => isset($_REQUEST['pslevel']) ? $_REQUEST['pslevel'] : 3,
                  'renderlinks'   => isset($_REQUEST['renderlinks']),
                  'pagewidth'     => isset($_REQUEST['pixels']) ? (int)$_REQUEST['pixels'] : 800,
                  'landscape'     => isset($_REQUEST['landscape']),
                  'method'        => isset($_REQUEST['method']) ? $_REQUEST['method'] : "fpdf" ,
                  'margins'       => array(
                                           'left'   => isset($_REQUEST['leftmargin'])   ? (int)$_REQUEST['leftmargin']   : 0,
                                           'right'  => isset($_REQUEST['rightmargin'])  ? (int)$_REQUEST['rightmargin']  : 0,
                                           'top'    => isset($_REQUEST['topmargin'])    ? (int)$_REQUEST['topmargin']    : 0,
                                           'bottom' => isset($_REQUEST['bottommargin']) ? (int)$_REQUEST['bottommargin'] : 0
                                           ),
                  'encoding'      => isset($_REQUEST['encoding']) ? $_REQUEST['encoding'] : "",
                  'ps2pdf'        => isset($_REQUEST['ps2pdf']),
                  'compress'      => isset($_REQUEST['compress']),
                  'output'        => isset($_REQUEST['output']) ? $_REQUEST['output'] : 0,
                  'pdfversion'    => isset($_REQUEST['pdfversion']) ? $_REQUEST['pdfversion'] : "1.2",
                  'transparency_workaround' => isset($_REQUEST['transparency_workaround']),
                  'imagequality_workaround' => isset($_REQUEST['imagequality_workaround']),
                  'draw_page_border'        => isset($_REQUEST['pageborder']),
                  'debugbox'      => isset($_REQUEST['debugbox']),
                  'html2xhtml'    => !isset($_REQUEST['html2xhtml']),
                  'mode'          => 'html'
                  );
./html2ps/html2ps.php:160
if ($g_config['ps2pdf']) {
  $pipeline->output_filters[] = new OutputFilterPS2PDF($g_config['pdfversion']);
}
./html2ps/filter.output.ps2pdf.class.php:40
function OutputFilterPS2PDF($pdf_version) {
  $this->pdf_version = $pdf_version;
}
./html2ps/filter.output.ps2pdf.class.php:36
function _mk_cmd($filename) {
  return GS_PATH." -dNOPAUSE -dBATCH -dEmbedAllFonts=true -dCompatibilityLevel=".$this->pdf_version." -sDEVICE=pdfwrite -sOutputFile=".$filename.".pdf ".$filename;
}
./html2ps/filter.output.ps2pdf.class.php:44
function process($tmp_filename) {
  $pdf_file = $tmp_filename.'.pdf';
  safe_exec($this->_mk_cmd($tmp_filename), $output);
./html2ps/filter.output.ps2pdf.class.php:3
function safe_exec($cmd, &$output) {
  exec($cmd, $output, $result);

Solution

Editer le fichier ./html2ps/filter.output.ps2pdf.class.php

La version de pdf est composée de chiffres et d'un point (1.3, 1.4, ...), il faut supprimer tout ce qui n'est pas un point ou un chiffre.

./html2ps/filter.output.ps2pdf.class.php
function OutputFilterPS2PDF($pdf_version) {
- $this->pdf_version = $pdf_version;
+ $this->pdf_version = preg_replace("#[^\.\d]#", "", $pdf_version);
}

0 commentaire

Laissez un commentaire