发布日期：2007-01-29
更新日期：2007-01-30

受影响系统：

CVSTrac CVSTrac 2.0.0

不受影响系统：

CVSTrac CVSTrac 2.0.1

描述：

---

BUGTRAQ  ID: 22296
CVE(CAN) ID: CVE-2007-0347

CVSTrac是一个为CVS设计的补丁和错误跟踪系统。

CVSTrac在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞执行拒绝服务攻击。

CVSTrac的format.c文件中is_eow()函数没有检查用户提供字符串的first(!)字符中的End-Of-Word终止字符，而是迭代字符串，这可能允许跳过单个嵌入的问号。然后is_repository_file()函数假设文件名字符串中不会包含单个问号，因此可能出现SQL转义问题。

但由于is_eow()处理空格的方式，尽管攻击者可以执行SQL注入攻击，但仅限于包含有能够超过isspace(3)函数之后字符的SQL查询。如果攻击者在提交的commit消息、凭据或Wiki页面中包含有特殊的文本结构的话，就可能导致拒绝服务，具体取决于所请求的页面。

<*来源：Ralf S. Engelschall （rse@engelschall.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=117009794020018&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=117009392603131&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Ralf S. Engelschall （rse@engelschall.com）提供了如下测试方法：

##
##  cvstrack-resurrect.pl -- CVSTrac Post-Attack Database Resurrection
##  Copyright (c) 2007 Ralf S. Engelschall <rse@engelschall.com>
##

use DBI;           # requires OpenPKG perl-dbi
use DBD::SQLite;   # requires OpenPKG perl-dbi, perl-dbi::with_dbd_sqlite=yes
use DBIx::Simple;  # requires OpenPKG perl-dbix
use Date::Format;  # requires OpenPKG perl-time

my $db_file = $ARGV[0];

my $db = DBIx::Simple->connect(
    "dbi:SQLite:dbname=$db_file", "", "",
    { RaiseError => 0, AutoCommit => 0 }
);

my $eow = q{\x00\s.,:;?!)"'};

sub fixup {
    my ($data) = @_;
    if ($$data =~ m:/[^$eow]*/[^$eow]*'[^$eow]+:s) {
        $$data =~ s:(/[^$eow]*/[^$eow]*)('[^$eow]+):$1 $2:sg;
        return 1;
    }
    return 0;
}

foreach my $rec ($db->query("SELECT name, invtime, text FROM wiki")->hashes()) {
    if (&fixup(\$rec->{"text"})) {
        printf("++ adjusting Wiki page \"%s\" as of %s\n",
            $rec->{"name"}, time2str("%Y-%m-%d %H:%M:%S", -$rec->{"invtime"}));
        $db->query("UPDATE wiki SET text = ? WHERE name = ? AND invtime = ?",
            $rec->{"text"}, $rec->{"name"}, $rec->{"invtime"});
    }
}
foreach my $rec ($db->query("SELECT tn, description, remarks FROM ticket")->hashes()) {
    if (&fixup(\$rec->{"description"}) or &fixup(\$rec->{"remarks"})) {
        printf("++ adjusting ticket #%d\n",
            $rec->{"tn"});
        $db->query("UPDATE ticket SET description = ?, remarks = ? WHERE tn = ?",
            $rec->{"description"}, $rec->{"remarks"}, $rec->{"tn"});
    }
}
foreach my $rec ($db->query("SELECT tn, chngtime, oldval, newval FROM tktchng")->hashes()) {
    if (&fixup(\$rec->{"oldval"}) or &fixup(\$rec->{"newval"})) {
        printf("++ adjusting ticket [%d] change as of %s\n",
            $rec->{"tn"}, time2str("%Y-%m-%d %H:%M:%S", $rec->{"chngtime"}));
        $db->query("UPDATE tktchng SET oldval = ?, newval = ? WHERE tn = ? AND chngtime = ?",
            $rec->{"oldval"}, $rec->{"newval"}, $rec->{"tn"}, $rec->{"chngtime"});
    }
}
foreach my $rec ($db->query("SELECT cn, message FROM chng")->hashes()) {
    if (&fixup(\$rec->{"message"})) {
        printf("++ adjusting change [%d]\n",
            $rec->{"cn"});
        $db->query("UPDATE chng SET message = ? WHERE cn = ?",
            $rec->{"message"}, $rec->{"cn"});
    }
}

$db->commit();
$db->disconnect();

建议：

---

厂商补丁：

CVSTrac
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cvstrac.org/cvstrac-2.0.1.tar.gz
http://www.cvstrac.org/cvstrac/chngview?cn=852

浏览次数：3660
严重程度：0（网友投票）