gravierendes Sicherheitsproblem FF 1.0.1 / 1.0.2

Hallo,

habe seit dem Update auf den 1.0.1 dt. und auch mit dem neuen 1.0.2 dt. (gerade installiert und getestet: Mozilla/5.0 (Windows; U; Windows NT 5.0; de-DE; rv:1.7.6) Gecko/20050320 Firefox/1.0.2) große Probleme und möchte auf mind. ein gravierendes Sicherheitsproblem hinweisen, bzw um Rat fragen.

Das Problem zeigt sich in der Art, dass wenn ich die Funktion "Logindaten speichern" von Firefox nutze, in jedem <form> Element innerhalb einer Webseite, welches den User/Username führt, immer mein eigener User/Loginnamen steht (optisch). Man könnte denken, dies sei nichts ungewöhnliches, ich erkläre es hier:

(Ich bin seit >14 Jahren in der IT und selbst Webmaster, betreue mehrere Boards, u.a. auch ein phpBB 2.0.13.)

Beispiel:
Ich logge mich mit einem frisch installierten!! FF. 1.0.1 oder FF 1.0.2 mit leerem Profil in ein phpbb Forum ein. Ich lass den FF die Logininformationen speichern. Begebe mich ins Adminpanel und möchte einen soeben neu regisrierten User freischalten. Beim Aufruf der Maske stehen nun alle Informationen dieses Users drin, bis auf dessen eigentlich registrierten Namen. Dort findet sich mein eigener Name!!

Dass ich im ersten Moment natürlich richtig blöd aus der Wäsche geschaut habe, kann sich jeder denken. Der absolute Hammer an der Sache ist der, dass hätte ich es gar nicht bemerkt, würde der neue Benutzer den Loginnamen "tom" bekommen und wäre somit Administrator meines Boards! Habe es mit einem Testaccount getestet.

So, habe natürlich zuerst an einen Exploit oder ähnliches geglaubt und sofort eine Dump, sowie ein komplettes Filebackup erstellt. Danach dann die phpfiles mit den Orginalen verglichen, um den Include des schadhaften Codes zu finden... vergeblich.

Die Frage war nun, was läuft falsch?

Als nächstes habe ich mir etliche anderen Useraccounts angesehen, mit immer dem gleichen Ergebnis. Alle wollten sie "tom" heissen. uuurgh.

So, nachdem ich mir den Quelltext nochmals angeschaut habe, habe ich die Seite mit dem DCOM-Inspector überprüft und festgestellt, dass die richtigen Werte für das object NameNodeMap: attributes: defaultValue: (nämlich der richtige Username) zwar enthalten sind, dieses aber anscheinend einige Zeilen weiter unten wiederum mit dem Wert: "tom" für das HTMLFormElement: usernamen überschrieben werden.

Um zu verstehen, bzw zu analysieren wollte ich mir eine lokale Kopie dieser Seite über das ScrapBook (Website offlineReader) machen. Das ScrapBook kopiert die Seiten, (drag´n drop) änderte aber sofort den username in den richtigen Wert.) Wie oben erwähnt, habe ich die FF Versionen mehrfach neu installiert, nach bestehendem Problem jedoch meine Orginal-Installation wiederhergestellt, um mehr Möglichkeiten zur Analyse zu haben (ScrapBook).

Zur weiteren Eingrenzung des Problems habe ich nun das File "signons.txt" in welches der FF bei aktiviertem "Speichern der Formulardaten" die Informationen statisch hält, gelöscht. Danach habe ich den oben beschrieben Vorgang wiederholt, jedoch bei der Abfrage ob die Daten gespeichert werden sollen, verneint.

Danach waren im Adminpanel innerhalb der Userverwaltung für jeden User die korrekten Daten innerhalb der Masken enthalten.

Sollte sich mein Problem nun nicht als Einzelfall herausstellen, kann ich jedem der FF >1.0 einsetzt nur empfehlen, die Datei
\Dokumente und Einstellungen\%user\Anwendungsdaten\Mozilla\Firefox\Profiles\%Profilordnerdername (???-default)\signons.txt zu verschieben und unter Extra>Einstellungen>Datenschutz>Gespeicherte Formulardaten die Option "Daten speichern, die in Webseiten Formulare und die Suchleiste eingegeben werden" zu deaktivieren.

Sollte sich entgegen meinen Erwartungen das Problem als ein Einzelfall herausstellen, so möchte ich mich für den erzeugten Wirbel entschuldigen. Ich habe lang überlegt ob ich überhaupt schreibe, jedoch sollte offensichtlich geworden sein, dass es mir um Information geht und nicht um eine Art von "schlecht machen" des Firefox. Im übringen, ich liebe diesen Browser, insbesondere in Verbindung mit dem ScrapBook, habe ich das schon erwähnt?!

Sollte mir jemand Hilfestellung oder Tips zur Fehlersuche geben können, wäre ich natürlich erfreut. Aber bitte von Tips wie "Cache löschen", "Proxy und/oder Firewall ausschalten! absehen. Selbstverständlich habe ich auch mit verschiedenen Einstellungen von javascript, java, css, cookies, ach ... weiss der Geier was getestet. Einzigst signons.txt löschen hat geholfen.

Mich würd interessiern, ob der Webmaster dieses Boards das Problem reproduzieren kann. Mit hoher Wahrscheinlichkeit ja, :shock: Ich kann ich übrigens jederzeit reproduzieren.

So, danke und sorry für den langen Text.
Gruß Tom

Zitat von xeen

1. hä?
2. was in den formularfeldern steht wird auch übertragen. ich versteh nicht

ja, nur sollten auch die entsprechend korrekten Daten übertragen werden. Schlimmer, Firefox überschreibt bereits gefüllte FormDaten mit den in signons.txt enthaltenen Werten, obwohl zuvor über Firefox selbst nie eine Eingabe in dieses Formfeld eingegeben wurde.

Zitat

was du meinst, hast du nen link?

klar, ich geb dir ein Link ins Adminpanel meines Forums.

Kann die Verwundbarkeit für das phpBB aber nun einschränken, da mir beim ersten Test ein Fehler unterlaufen ist. Wenn man in der Useradministration den submitbutton klickt, prüft zumindest die aktuelle Version von phpBB ob der Username bereits vergeben ist und quittiert entsprechend mit einer Fehlermeldung, auch, wenn "allow user- renaming" eingestellt ist. Die Fehlermeldung habe ich leider übersehen, da sie oberhalb des gescrollten Bereichs war.

Allerdings dürfte es einiges an CMS oder sonstigen WebServerApplikationen geben, bei denen die Sache nicht so glimpflich abgehen kann. Ich denke da beispielsweise an phpmyadmin, etc wo man keine Möglichkeit hat falsche Werte zu erkennen.

Habe gerade auf bugzilla rescherschiert, der Bug ist seit 2004-10-25 09:19 bekannt! https://bugzilla.mozilla.org/show_bug.cgi?id=265985

WebAdmins sollten jedenfalls auf dieses Feature verzichten.

Gruß Tom

Hallo SiteAdmin,

wenn du doch die Möglichkeit hast und verstanden hast wovon ich rede dann teste es doch bitte mal selbst.

Zitat

wenn du die selben Felder vorher schonmal ausgefüllt hast

nicht nötig. schlimmer, er überschreibt enthaltene Werte, try it!

Verkauf es bitte nicht als Feature, das ist es nicht.

Gruß Tom

Hallo NightHakw,

Zitat

Die offiziellen Versionen FF 1.0.2 final... und
Firefox 1.0.2 und Firefox 1.0+

bitte ich doch, sich auch hier die Nomenklatur zu halten und Dinge, die nightlies oder andere nicht-Releases in einem besonderen Bereich zu diskutieren, z.B. in Firefox Builds. Ich finde es wirklich schlimm, wieviel Verwirrung hier in letzter Zeit gestiftet wird.

Verwirrung finde ich auch schlimm, in diesem Sinne besten Dank für deinen Hinweis. Allerdings, wenn das Teil der Nomenklatur ist:

Zitat

Die offiziellen Versionen FF 1.0.2 final...
... werden entweder:

hier veröffentlicht: http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

oder besser lesbar hier: http://www.mozilla.org/products/firefox/all.html

Solange da nichts steht, ist keine offizielle Version 1.0.2 von Mozilla veröffentlicht!

Habe ich mich strickt daran gehalten, denn ich bin erst durch diesen Link auf diese Version 1.0.2 gestossen. Wie steht es in Eurer Nomenklatur um OT? :roll:

siehe: http://ftp.mozilla.org/pub/mozilla.or…up%201.0rc2.exe

Gruß vom Tom
der die gante Nacht verwirrt war

:shock: Habe mich vertan und stifte Verwirrung, entschuldigung. Ich sollte besser schlafen gehen.

Schönen Tag noch,
Tom