Des XSS réfléchies (RXSS) ont été découvertes dans le système de Bug Tracking « JitterBug » sur les domaines principaux « www.samba.org » et « www.openldap.org ».
JitterBug est un projet de « Bug Tracker » supporté et hébergé par Samba.org. Ce Bug Tracker est à présent suspendu et n’est plus maintenu.
Le portail de Samba.org conserve la page de présentation du projet ainsi qu’une version de démonstration. Beaucoup d’autres projets, notamment open-source tels que Gnome, rsync, The Gimp, linux-patches, ProFTPD, Willows, Java Linux, WindowMaker, mod_ssl, GnuCash ou encore OpenLdap ont par le passé exploité ce système de Bug Tracking. La plupart ont évolué et changé de solution (BugZilla par exemple) suite à l’arrêt de JitterBug, mais hélas pas l’intégralité.
Une vulnérabilité de type Reflected XSS a pu être décelée au sein du moteur du système de bug tracking JitterBug. Cette vulnérabilité permet de corrompre le contexte des navigateurs des victimes, capturer des données personnelles et altérer le rendu des pages.
Le moteur JitterBug étant impacté, tous les sites utilisateurs de ce bug tracker sont concernés. A ce titre, le domaine principal « www.samba.org » qui expose encore le tracker en version de démonstration, ainsi que « www.openldap.org » qui utilise encore JitterBug actuellement en tant que bug tracker principal sont vulnérables.
Les mainteneurs du projet JitterBug ont été alertés, à savoir directement sur le bug tracker de www.samba.org. Le ticket a été privatisé afin de discuter de la meilleure méthode de correction et de décider du maintien ou non du portail de démonstration JitterBug sur « www.samba.org ».
Un ticket a également été ouvert sur le JitterBug tracker principal du projet OpenLDAP pour corriger le déploiement sur ce domaine. La correction a été appliqué en moins d’1h15min.
Nous encourageons tous sites utilisant encore le projet JitterBug en tant que bug tracker à changer de système au plus tôt, sachant que le projet n’est plus maintenu et qu’il n’y aura pas de patchs correctifs à l’avenir.
Après plusieurs semaines de discussion et de proposition de correction, les équipes de Samba (qui maintenaient le projet JitterBug) ont finalement décidé de l’arrêt de celui-ci (sous réserve qu’il soit repris par un autre contributeur), et ont désactivé l’accès aux scripts CGI de la version de démonstration JitterBug.
Après analyse du code source du bug tracker JitterBug, une proposition de correction (non-testée) a été indiqué dans le ticket relatif à la vulnérabilité.
Nous saluons les équipes de Samba et OpenLDAP pour les divers échanges et leur amabilité. Navré d’avoir contribué à un arrêt prématuré du projet JitterBug, mais comme les équipes de Samba l’indiquent, libre à quiconque de reprendre le flambeau !
Sources & ressources :
Yann
Consultant Sécurité