[SECURITY-L] Alerta!!!! - TWIG expoe nome de usuario e senha

Daniela Regina Barbetti daniela em ccuec.unicamp.br
Ter Jan 8 15:58:36 -02 2002 

From: Adriano Mauro Cansian <adriano em unesp.br>
Subject: Alerta!!!! - TWIG nome de usuário e senha
To: Pedro A M Vazquez <vazquez em iqm.unicamp.br>
Date: Mon, 07 Jan 2002 19:31:16 -0300
X-Mailer: QUALCOMM Windows Eudora Version 5.1


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

                   ALERTA!!!!

            TWIG expõe nome de usuário e senha.

1. Introdução

   TWIG é uma aplicação baseada em www para intranets e groupware. Ela 
inclui suporte para e-mail e acesso de newsgroup.


2. Descrição

   Quando um usuário se autentica no TWIG, seu nome de usuário e senha são 
guardados num cookie. Na configuração padrão do TWIG, essa informação não 
sofre qualquer tipo de ciframento. Um atacante pode adquirir esse cookie 
através de uma referência cruzada de URL enviada ao usuário.
Além do problema do ciframento, o cookie sobrevive à sessão se o usuário 
não der logout explícito.


3. Sistemas Afetados

   TWIG 2.6
   TWIG 2.6.1
   TWIG 2.6.2
   TWIG 2.7
   TWIG 2.7.1
   TWIG 2.7.2
   TWIG 2.7.3
   TWIG 2.7.4

   Versões anteriores também são afetadas. Recebemos alerta referente a 
uma versão anterior a essas que roda aqui na UNESP, que é afetada.


4. Solução

   Para administradoress:
     Edite o seguinte arquivo
         <raiz-do-twig>/config/config.php (ou .php3)
          mudando os seguintes valores change:
            $config["security"] = "basic";
          para:
            $config["security"] = "advanced";
          E:
            $config["login_handler"] = "cookie";
          Para:
            $config["login_handler"] = "securecookie.php4session";
     Ou verifique as opções descritas na documentação da sua versão do TWIG.


   Para usuários:
     Sempre execute logout explícito, através dos menus do TWIG.


5. Comentários

   Ler os seguintes alertas:
   http://www.securityfocus.org/archive/1/242913
   http://www.securityfocus.org/cgi-bin/vulns-item.pl?section=info&id=3591


Qualquer dúvida entre em contato com o GRC

Cordialmente,

	Francisco Figueiredo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Gnome PGP version 0.4

iD8DBQE8OZDQ/iB8DG84/iIRAr/xAJ98Du3NNWX3BM9Ezmh/+iA7O0zewgCfRCIs
Hz0ws8pQMgpFwnd2+uIksMg=
=ehW1
-----END PGP SIGNATURE-----

Mais detalhes sobre a lista de discussão SECURITY-L