La clase System.Web en el servidor XSP para ASP.NET de la versión 1.1 a la 2.0 en Mono no verifica correctamente los nombres de ruta locales, lo que permite a atacantes remotos (1) leer el código fuente al agregar un espacio (%20) a un URI, y (2) leer credenciales mediante una solicitud para Web.Config%20.
Investigador
José Ramón Palanco: jpalanco@gmail.com
Detalles
Línea de Tiempo
- 29 de noviembre de 2006: Problema de seguridad descubierto por José Ramón Palanco
- 30 de noviembre de 2006: Reportado al Proyecto Mono
- 1 de diciembre de 2006: Parche en la revisión de subversión 68776
- 5 de diciembre de 2006: Mono está probando el parche y construyendo paquetes para la solución
- 19 de diciembre de 2006: Aviso publicado
Vulnerabilidad
Divulgación de Código Fuente y Divulgación de Configuración
Los atacantes utilizan ataques de divulgación de código fuente para intentar obtener el código fuente de aplicaciones del lado del servidor. El papel básico de los servidores web es servir archivos según lo solicitado por los clientes. Los archivos pueden ser estáticos, como archivos de imagen y HTML, o dinámicos, como archivos ASPX, ASHX, ASCX, ASAX, servicios web como archivos ASMX y cualquier lenguaje compatible con Mono como: C#, boo, nemerle, archivos vb: .cs, .boo, vb, .n, … Cuando el navegador solicita un archivo dinámico, el servidor web primero ejecuta el archivo y luego devuelve el resultado al navegador. Por lo tanto, los archivos dinámicos son en realidad código ejecutado en el servidor web.
Usando un ataque de divulgación de código fuente, un atacante puede recuperar el código fuente de un archivo del lado del servidor. Obtener el código fuente de los archivos del lado del servidor otorga al atacante un conocimiento más profundo de la lógica detrás de la aplicación web, cómo la aplicación maneja las solicitudes y sus parámetros, la estructura de la base de datos, las vulnerabilidades en el código y los comentarios del código fuente. Tener el código fuente, y posiblemente una aplicación duplicada para probar, ayuda al atacante a preparar un ataque contra la aplicación.
Un atacante puede causar la divulgación de código fuente usando %20 (carácter de espacio) después del URI, por ejemplo http://www.server.com/app/Default.aspx%20
Actualización: también es posible recuperar el archivo Web.Config. Este archivo contiene información sensible como credenciales.
Productos y Versiones
| Tipo | Vendedor | Producto | Versión |
|---|---|---|---|
| Aplicación | Mono | XSP | 1.1 |
| Aplicación | Mono | XSP | 1.2.1 |
| Aplicación | Mono | XSP | 2.0 |
CPE v2.3
- cpe:2.3:a:mono:xsp:1.1:::::::*
- cpe:2.3:a:mono:xsp:1.2.1:::::::*
- cpe:2.3:a:mono:xsp:2.0:::::::*
Definiciones OVAL
| Título | Id de definición | Familia |
|---|---|---|
| divulgación de código fuente ASP.net de mono-web | oval:org.mitre.oval:def:2092 | unix |
Puntuaciones CVSS y Tipos de Vulnerabilidad
| Nombre | Valor |
|---|---|
| Puntuación CVSS | 5.0 |
| Impacto en Confidencialidad | Parcial (Hay una considerable divulgación de información.) |
| Impacto en Integridad | Ninguno (No hay impacto en la integridad del sistema) |
| Impacto en Disponibilidad | Ninguno (No hay impacto en la disponibilidad del sistema.) |
| Complejidad de Acceso | Baja (No existen condiciones de acceso especializadas ni circunstancias atenuantes. Se requiere muy poco conocimiento o habilidad para explotar.) |
| Autenticación | No requerida (No se requiere autenticación para explotar la vulnerabilidad.) |
| Acceso Ganado | Ninguno |
| Tipo(s) de Vulnerabilidad | |
| ID CWE | El ID CWE no está definido para esta vulnerabilidad |
Referencias
- VUPEN ADV-2006-5099
- UBUNTU USN-397-1
- BID 21687 Vulnerabilidad de divulgación de información del código fuente de Mono XSP Fecha de lanzamiento: 2007-01-26
- BUGTRAQ 20061220 Vulnerabilidad de divulgación del código fuente del servidor ASP.NET de Mono XSP
- MANDRIVA MDKSA-2006:234
- SECTRACK 1017430
- SREASON 2082
- GENTOO GLSA-200701-12
- SUSE SUSE-SA:2007:002
- FEDORA FEDORA-2007-068
- FEDORA FEDORA-2007-067