Welcome, Guest
Username: Password: Remember me

TOPIC: Sicherheitsprobleme bei LimeSurvey?

Sicherheitsprobleme bei LimeSurvey? 2 years 9 months ago #69009

  • mayer
  • mayer's Avatar
  • OFFLINE
  • Fresh Lemon
  • Posts: 2
  • Karma: 0
Liebes Forum,

wir verwenden LimeSurvey Version 1.90+ Build 9596 mit MySQL-Datenbank (Version 5.1.37-1ubuntu5.5-log).

Bezüglich der Verwendung sind uns von dritter Stelle massive Sicherheitsbedenken angetragen worden.

1) Cross-Site-Scripting:
Beispiel: Manipulation der POST-Parameter von index.php in den Wert „'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>". Hier bewirkt der eingeschleuste JavaScript-Code, dass im Kontext der Webapplikation (im Adminbereich) eine JavaScript-Box mit dem Inhalt "XSS" angezeigt wird. Frage: Werden Eingabedaten und Parameter vor der weiteren Verarbeitung geprüft, sodass nur erlaute Zeichen akzeptiert werden? Werden Sonderzeichen durch Umwandlung behandelt (z.B. ">" zu ">")?

2) SQL Injection im Parameter "guid"
Durch Einschleusen von SQL-Fragmenten mit vorangestelltem Singlequote (') kann das bestehende Statement der Applikation modifiziert werden. Beispiel: www.server.de/limesurvey/admin.php?action=editusergroups&ugid=' HTTP/1.1
Kann hier der komplette Admin-Bereich (d.h. das Unterverzeichnis "admin" auf einen anderen nicht aus dem Internet erreichbaren Server/Verzeichnis kopiert werden? Ist unabhänigig davon der Einsatz von Prepared Statements möglich (z.B. durch ".mysql_real_escape_string()")?

Da wir LimeSurvey gerne weiter einsetzen würden, wären wir an einer Lösung der Sicherheitsprobleme natürlich sehr interessiert. Über das Webfrontend konnten wir keine passenden Sicherheitseinstellungen finden.

Für jede Hilfe in dieser Angelegenheit sind wir dankbar.

Viele Grüße

Mayer
The administrator has disabled public write access.

Re: Sicherheitsprobleme bei LimeSurvey? 2 years 9 months ago #69016

  • Mazi
  • Mazi's Avatar
  • OFFLINE
  • LimeSurvey Team
  • Posts: 5324
  • Thank you received: 294
  • Karma: 248
mayer wrote:
Liebes Forum,

wir verwenden LimeSurvey Version 1.90+ Build 9596 mit MySQL-Datenbank (Version 5.1.37-1ubuntu5.5-log).

Bezüglich der Verwendung sind uns von dritter Stelle massive Sicherheitsbedenken angetragen worden.
Bevor ich mich jetzt mit den Details im einzelnen beschäftige: Wir veröffentlichen wöchentliche Bugfix-Updates und eure Version ist inzwischen fast 1 Jahr alt. Daher würde ich empfehlen, zunächst einmal ein Update durchzuführen und dann zu testen, ob die Probleme überhaupt noch existieren.

Frage: Welche "dritte Stelle" ist denn mit den Bedenken an euch herangetreten und worauf beruhen diese Informationen zu den Sicherheitsbedenken?

Best regards/Beste Grüße,
Dr. Marcel Minke
(Limesurvey Head of Support)
Need Help? We offer professional Limesurvey support
Contact: marcel.minke(at)limesurvey.org'"
The administrator has disabled public write access.

Aw: Re: Sicherheitsprobleme bei LimeSurvey? 2 years 9 months ago #69293

  • mayer
  • mayer's Avatar
  • OFFLINE
  • Fresh Lemon
  • Posts: 2
  • Karma: 0
Zwischenzeitlich haben wir unsere Version aktualisiert (Version 1.91+ Build 11379). Die Probleme bestehen weiterhin (s.u.).

Die genannte "dritte Stelle" ist eine firmeninterne Zertifizierungsstelle, die alle bei uns eingesetzten Tools vor dem Einsatz einer sicherheitstechnischen Prüfung unterzieht. Diese Zertifizierungsstelle hat unserem EDV-Team die genannten Sicherheitslücken genannt. Die Erkenntnisse der Zertifizierungsstelle beruhen auf von dieser ausgeführten Zertifizierungstests.

Nochmals ergänzend zu 1) Cross-Site-Scripting funktioniert weiterhin bei allen Fragetypen mit Frei-Eingabefeld. Bewegt man z.B. im Firefox den Mauszeiger über den entsprechenden Eintrag in "Ansicht der Daten" unter "Antworten anzeigen" (also dort, wo die Datensätze angezeigt werden), wird das Skript ausgeführt (vorausgesetzt, Scripts sind eingeschaltet.) Hier findet also keine Umwandlung von "gefährlichen" Zeichen wie "<" statt.

Zu 2) Auch dieses Problem besteht weiterhin.

Bitte um Hilfe.

Herzlichen Dank ud viele Grüße

Mayer
The administrator has disabled public write access.

Solved: Sicherheitsprobleme bei LimeSurvey? 2 years 9 months ago #69302

  • c_schmitz
  • c_schmitz's Avatar
  • NOW ONLINE
  • LimeSurvey Team
  • Posts: 754
  • Thank you received: 104
  • Karma: 87
Hallo!

Die letzte Version 11379 hat Problem 1 nicht mehr. Einfach mal den Browser-Cache nach dem Update löschen, dann klappt es auch.

Problem 2 kann ich hier nicht nachvollziehen. Es wird zwar ein fehlerhaftes SQL Statement gezeigt, aber das ist keine SQL Injection. Der Wert wird gecheckt und ist daher leer. Es ist nicht möglich eigenes SQL hier auszuführen.

Es ist übrigens immer besser, solche Problem im Bugtracker zu berichten. Das Forum ist nicht der richtige Ort dafür, denn hier wird sowas leicht übersehen.

Danke!
Support us, too. Donate to the LimeSurvey project and help keep us going!
The administrator has disabled public write access.
Moderators: ITEd
Time to create page: 0.128 seconds
Donation Image