Une vulnérabilité de script intersite (XSS) dans PrivateBin, le pastebin sécurisé open source, a été corrigée.
PrivateBin, un fork du populaire ZeroBin, est un outil en ligne utilisé pour stocker des informations et est crypté/décrypté dans le navigateur à l’aide d’AES 256 bits, ce qui signifie que le serveur n’a « aucune connaissance des données collées ».
Découverte par Ian Budd de la société de sécurité Nethemba, la faille permet d’intégrer du code JavaScript malveillant dans un fichier image SVG, qui peut ensuite être attaché à des pâtes.
Si un utilisateur ouvre un collage avec une pièce jointe SVG spécialement conçue et interagit avec l’image d’aperçu alors que l’instance n’est pas protégée par une politique de sécurité de contenu appropriée, un attaquant peut également exécuter du code.
« Il est très facile de créer la charge utile et de l’envoyer à d’autres utilisateurs », explique Budd. La gorgée quotidienne.
« La partie délicate est que l’utilisateur devrait ouvrir l’aperçu de l’image dans un nouvel onglet – les détails de la façon dont cela peut être réalisé de manière réaliste ont été détaillés par PrivateBin dans son rapport.
« En cas d’exécution réussie, il pourrait permettre l’accès à des cookies non protégés, des données de stockage local, des données de stockage de session, etc., pour d’autres applications exécutées sur le même domaine, où lesdits cookies sont présents sur le navigateur de la victime. Cela peut inclure des jetons d’authentification.
Faible chance d’attaque
Budd affirme que les chances de réussite d’une attaque seraient relativement faibles, car elle nécessite explicitement une interaction de l’utilisateur et parce que le code d’exploitation potentiel ne peut s’exécuter que dans un nouvel onglet.
« PrivateBin avait déjà fait un excellent travail en créant une politique de sécurité du contenu (CSP) qui atténuait le problème », dit-il.
« La vulnérabilité a été trouvée lors de l’utilisation d’un navigateur qui ne respectait pas ou ne suivait pas ce CSP ou de sites pour lesquels le CSP par défaut avait été modifié, ce qui réduisait l’efficacité. »
Cependant, Nethemba a trouvé plusieurs instances dans ses listes d’instances qui semblaient supprimer le CSP ou l’avaient changé pour un paramètre dangereux, dont deux avaient des pièces jointes activées et étaient donc vulnérables à l’attaque.
Cependant, aucun rapport n’a signalé que la vulnérabilité était activement exploitée.
Divulgation
La faille a été signalée le 22 février, avec des détails publiés le 9 avril.
«La divulgation était simple. Nous avons communiqué avec Simon Rupf qui a effectué sa propre série de tests et nous a tenus informés de ses découvertes », explique Budd.
« Nous avons discuté des mesures d’atténuation et PrivateBin nous a tenus informés à chaque étape du processus. »
PrivateBin dit avoir atténué la vulnérabilité dans l’aperçu et encourage les administrateurs de serveur à mettre à niveau vers une version avec le correctif ou à s’assurer que le CSP de leur instance est correctement défini. Il a également élargi son outil de liste de répertoires pour inclure un mécanisme de vérification.
TU POURRAIS AUSSI AIMER Les vulnérabilités de sécurité de Git invitent les mises à jour