Un patch de sécurité pour Dotclear

Sacha — Fri, 30 Nov 2007 00:00:00 +0100

Deux raisons justifient ce patch :

Il existe un problème de sécurité dans Dotclear qui permet d'exécuter du code JavaScript sur le navigateur de l'administrateur du blog à son insu.
L'information sur l'adresse IP d'un commentaire ou d'un rétrolien est facilement falsifiable. De même, tous les filtres Antispam basés sur la vérification de l'adresse IP sont dérisoires pour un spammeur utilisant cette vulnérabilité Dotclear.

Description technique

La fonction realIP() de la classe http de Clearbricks renvoie un contenu (censé être l'adresse IP du client) qui peut être modifié arbitrairement par le client en précisant les en-têtes HTTP CLIENT_IP ou X_FORWARDED_FOR sur son navigateur web (p.ex. en utilisant l'extension Modify Headers pour Firefox). De plus, il est possible d'assigner du code JavaScript à CLIENT_IP qui sera exécuté sur le navigateur de l'administrateur du blog au moment de la prévisualisation d'un commentaire ou de l'édition d'un article existant^[1].

Correction rapide

Le moyen le plus simple de corriger cette faille de sécurité est d'éditer le fichier inc/clearbricks/common/lib.http.php. Il faut de remplacer la fonction realIP() (lignes 129 - 189) par celle-ci :

	public static function realIP()
	{
		if (isset($_SERVER['REMOTE_ADDR'])) {
			return $_SERVER['REMOTE_ADDR'];
		}
		else {
			return null;
		}
	}

Vous pouvez également télécharger le fichier lib.http.php joint à ce billet et le mettre à la place de l'ancien fichier.

Patch pour la version SVN

La correction rapide suffit parfaitement pour corriger cette faille de sécurité. Ce qui suit s'adresse donc à des personnes qui connaissent bien au moins les bases de la programmation et qui souhaitent faire une correction "plus propre". Si ce n'est pas votre cas, il est plus sûr d'opter pour la correction rapide, qui est équivalente.

Le patch se situe dans les documents annexes à ce billet.

Un exploit ?

Je ne montre pas ici la manière dont cette vulnérabilité peut être exploitée pour, par exemple, se connecter en tant qu'administrateur sur un blog vulnérable. Cependant c'est faisable sans trop de peine. Si je ne m'en suis pas occupé, c'est parce que mon temps libre est limité et j'ai autre chose à faire que de montrer les conséquences qu'une omission de cette correction peut avoir.

Notes