SQL injection vulnerability in HumHub allows database access

During an internal evaluation of the social networking solution HumHub, the senior security consultant Eric Sesterhenn from LSE Leading Security Experts GmbH discovered an SQL injection vulnerability in versions 0.11.2 and 0.20.0-beta.2. The vulnerability allows read/write access to the underlying HumHub MySQL database. This includes full access to private user data and all conversations.

For further Informations about the LSE Leading Security Experts please visit our website www.foxmole.com

LSE LinOTP Hotfix and Security Advisory

Die LSE Leading Security Experts GmbH empfiehlt, nachstehendes Hotfix
für den sicheren Betrieb von LinOTP einzuspielen. Diese Empfehlung gilt,
wenn Sie nicht die automatischen Updatemechanismen zur Aktualisierung
von LinOTP verwenden (siehe unten, unter “LSE LinOTP Smart Virtual Appliance”).
Im Falle der Verwendung der automatischen Updatemechanismen besteht kein
Handlungsbedarf, da LinOTP dann bereits auf dem neusten Stand ist.

Der Hotfix schließt eine kritische Lücke und verhindert damit, dass
diese potenziell ausgenutzt werden kann.

Die Lücke würde einem unauthorisierten Benutzer potenziell das Übermitteln
von ungewollten Zeichenfolgen ermöglichen, welche dann im
LinOTP-Log, d.h. der LinOTP-Log-Datenbank, gespeichert werden.
Zu einem späteren Zeitpunkt könnte dann, unter bestimmten Umständen, diese
Zeichenfolge im Admin-Kontext, also durch einen Administrator bei der Verwaltung
von LinOTP, versehentlich zur Ausführung gebracht werden. Damit könnte möglicherweise
Schadcode eingeschleust werden. Dies wird verursacht durch unzureichende
Aufbereitung des Outputs, bedingt durch ein von LinOTP verwendetes Widget.

Wir haben für unser Produkt LinOTP ein diesbezügliches Advisory veröffentlicht,
welchem bei Interesse die entsprechenden Details entnommen werden können.
Wir danken ausdrücklich Tomas Rzepka für seine diesbezügliche Mithilfe
und den wertvollen Beitrag.

Nach unserem Kenntnisstand wurde diese Lücke bisher nicht aktiv ausgenutzt.

Wir stellen unseren Kunden den Hotfix in verschiedenen Formaten und Versionen
zur Verfügung. Die Pakete enthalten über den Hotfix hinaus keine weiteren Änderungen.
Wir empfehlen, den Hotfix umgehend einzuspielen.

Bitte verwenden Sie die unten aufgeführten Installationswege.

In kommenden Versionen von LinOTP (2.8 und höher) werden weitere Verbesserungen
enthalten sein, um den potenziell möglichen Angriffsweg bereits von vornherein
aus der LinOTP API heraus zu verhindern. Durch Sanitisierung der Antworten innerhalb
unserer JSON-basierten API, wird HTML-Output zusätzlich bereinigt und damit abgesichert.

 

Installation des Hotfix

Wir bieten für verschiedene LinOTP Versionen Pakete zum Update an.

2.6.1.1 –> 2.6.1.2
2.7.0.2 –> 2.7.0.3
2.7.1.2 –> 2.7.1.3
2.7.2.1 –> 2.7.2.2

Wir bieten Ihnen eine Installationsanleitung mit Links zum Download.

Sollten Sie eine ältere Version von LinOTP (<2.6) verwenden oder den Hotfix
unabhängig vom Paketmanagement einspielen wollen, stellen wir auch die auszutauschende
Datei mit einer Installationsanleitung zur Verfügung.

Sollten Sie Fragen zur Anwendung des Hotfix haben, helfen wir Ihnen gerne weiter:

E-Mail: support@lsexperts.de
Telefon: +49 6151 86086 115

LSE LinOTP Smart Virtual Appliance

Kunden, welche die LinOTP SVA nutzen und das automatische Update verwenden
erhalten das neue Paket im konfigurierten Zeitrahmen automatisch.

Sollten Sie den Hotfix auf Ihrer LSE LinOTP SVA direkt einspielen wollen, können
Sie in der Kommandozeile den Befehl “appliance-update.sh” verwenden.

Bitte beachten Sie, dass hierdurch auch alle anhängigen Betriebssystemupdates
heruntergeladen und installiert werden, falls Sie das automatische Update bisher
nicht aktiviert haben. Sollten längere Zeit keine Updates mehr durchgeführt worden
sein, so kann dies ein umfangreicher Download- und Installationsprozess sein

Links

Installationsanleitung

Advisory