[SECURITY-L] Alerta!!!! - TWIG expoe nome de usuario e senha
Daniela Regina Barbetti
daniela em ccuec.unicamp.br
Ter Jan 8 15:58:36 -02 2002
From: Adriano Mauro Cansian <adriano em unesp.br>
Subject: Alerta!!!! - TWIG nome de usuário e senha
To: Pedro A M Vazquez <vazquez em iqm.unicamp.br>
Date: Mon, 07 Jan 2002 19:31:16 -0300
X-Mailer: QUALCOMM Windows Eudora Version 5.1
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
ALERTA!!!!
TWIG expõe nome de usuário e senha.
1. Introdução
TWIG é uma aplicação baseada em www para intranets e groupware. Ela
inclui suporte para e-mail e acesso de newsgroup.
2. Descrição
Quando um usuário se autentica no TWIG, seu nome de usuário e senha são
guardados num cookie. Na configuração padrão do TWIG, essa informação não
sofre qualquer tipo de ciframento. Um atacante pode adquirir esse cookie
através de uma referência cruzada de URL enviada ao usuário.
Além do problema do ciframento, o cookie sobrevive à sessão se o usuário
não der logout explícito.
3. Sistemas Afetados
TWIG 2.6
TWIG 2.6.1
TWIG 2.6.2
TWIG 2.7
TWIG 2.7.1
TWIG 2.7.2
TWIG 2.7.3
TWIG 2.7.4
Versões anteriores também são afetadas. Recebemos alerta referente a
uma versão anterior a essas que roda aqui na UNESP, que é afetada.
4. Solução
Para administradoress:
Edite o seguinte arquivo
<raiz-do-twig>/config/config.php (ou .php3)
mudando os seguintes valores change:
$config["security"] = "basic";
para:
$config["security"] = "advanced";
E:
$config["login_handler"] = "cookie";
Para:
$config["login_handler"] = "securecookie.php4session";
Ou verifique as opções descritas na documentação da sua versão do TWIG.
Para usuários:
Sempre execute logout explícito, através dos menus do TWIG.
5. Comentários
Ler os seguintes alertas:
http://www.securityfocus.org/archive/1/242913
http://www.securityfocus.org/cgi-bin/vulns-item.pl?section=info&id=3591
Qualquer dúvida entre em contato com o GRC
Cordialmente,
Francisco Figueiredo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Gnome PGP version 0.4
iD8DBQE8OZDQ/iB8DG84/iIRAr/xAJ98Du3NNWX3BM9Ezmh/+iA7O0zewgCfRCIs
Hz0ws8pQMgpFwnd2+uIksMg=
=ehW1
-----END PGP SIGNATURE-----
Mais detalhes sobre a lista de discussão SECURITY-L