|
 Все новости от 22 июня 2001 г.
Интернет-магазинам, построенным на платформе «1С: Аркадия», рекомендуют усилить охрану
Вчера хакерская группа Nerf Security Group разместила на своем сайте информацию о серьезных пробелах в защите программного продукта «1С: Аркадия», предназначенного для создания интернет-магазинов. Здесь же содержатся рекомендации, как перекрыть эти лазейки в приложениях.
С использованием «1С: Аркадия» разработаны интернет-магазин компании «Стилус», «Микромир», «Крона КС», магазин CopyShop компании CompTek, «Стеллар Электроникс» и другие торговые площадки.
Nerf Security Group обнаружила три уязвимых места в модуле tradecli.dll (интерпретатор языка «1С: Аркадия»). Первое состоит в том, что сообщение об ошибке, появляющееся при некорректном обращении к системе, содержит полный путь к рабочему каталогу. (Разработчикам приложений предлагается «воздержаться от сообщения деталей пользователю» и выводить подробные сообщения в Event Log.)
Вторая уязвимость заключается в возможности считать файл с диска, к которому обращается рабочий каталог tradecli.dll, указывая определенное количество символов подъема на более высокий уровень (..\). (Разработчикам рекомендуется проверять путь, указанный в параметре template, на корректность, а администраторам веб-серверов, использующих данный продукт, — ограничить права, с которыми запускается tradecli.dll, «чтобы не допустить чтения исходного текста скриптов и других файлов».)
Наконец, последний пробел, довольно распространенный и в других программах, — «зависание» ISAPI-приложения. При открытии файлов com1, com2... приложение в Windows NT зависает, что приводит к неработоспособности не только самого приложения, но и сайта. (Разработчикам остается только проверять перед открытием файла, существует ли он, а администраторам сервера «покорно ждать» выхода нового релиза «1С: Аркадии».)
Продукт, о котором идет речь, разработан совместно московской компанией «1С» и петербургской фирмой «Аркадия». Обе компании на момент появления этой информации не были готовы к официальным комментариям. Правда, в фирме «1С» сказали, что, скорее всего, вопросы надо адресовать петербургскому разработчику. Кроме того, по словам руководителя отдела продвижения экономических программ «1С» Алексея Харитонова, подобная информация воспринимается как пожелание пользователей и будет принята к сведению.
Менеджер по проектам компании «Аркадия» Ирина Шевченко рассказала ZDNet, что продукт, в котором выявлены недостатки, был разработан в 1997 году, когда, проблемы защиты информации не стояли так остро. Указанные недостатки, по ее мнению, не приводят к утечке коммерческой информации и могут быть устранены с помощью «грамотного администрирования». Тем не менее компания планирует в течение следующей недели выпустить необходимые патчи.
|
 |
 | buggzy, Nerf Security Group - buggzy nerf.ru
25 Jun 2001 10:14 AM |
хочу прокомментировать заявление:
===============
Менеджер по проектам компании «Аркадия» Ирина Шевченко рассказала ZDNet, что продукт, в котором выявлены недостатки, был разработан в 1997 году, когда, проблемы защиты информации не стояли так остро. Указанные недостатки, по ее мнению, не приводят к утечке коммерческой информации и могут быть устранены с помощью «грамотного администрирования». Тем не менее компания планирует в течение следующей недели выпустить необходимые патчи.
===============
Моё мнение: Первый и второй "недостатки" МОГУТ (при прочих неблагоприятных условиях) привести к утечке информации, а третий - НЕ может быть устранен никаким администрированием, в т. ч. "грамотным". А пока компания планирует выпускать патчи, мои знакомые сшибают деньги за то, что "вешают" сервера на "Аркадии". Я как человек, нашедший ошибку, искренне сожалею, что информация о ней получила широкое распространение до того, как был выпущен патч. |
|
| I
25 Jun 2001 2:14 PM |
Авторам статьи: большое спасибо за такую "презентацию" линка на наш сайт. Владельцы остальных упомянутых сайтов, думаю, тоже скажут "спасибо" вам :-|.
Головой то думали публикуя такую информацию? |
|
| доброжелатель!
25 Jun 2001 2:41 PM |
| Вы сами подумайте корреспонденты позвонили в 1с, там им сказали что ничего страшного не произошло, вот и ничего страшного нет в том что здесть опубликовано... А если эти интернет магазины взломали, так это притензии к 1с, пусть не врут! |
|
| buggzy - buggzynerf.ru
25 Jun 2001 2:47 PM |
| Аналогично, не понимаю, зачем автор (pig_killer@algo.ru) опубликовал имена уязвимых сайтов, нарываясь на гнев праведный. Кому надо - сами бы нашли, благо, в любой поисковой системе это за пару минут делается... А вы, уважаемые сисадмины, не грустите, вам же Ирина посоветовала грамотно все сконфигурировать, вот вы у нее и спросите, как это делается, она точно знает :) |
|
| Служба технической поддержки 1С:Аркадия Интернет- - supportmagazin.ru
25 Jun 2001 2:55 PM |
22.06.2001 "Аркадия" выпустила обновление TradeCli.dll для "1С:Аркадия Интернет-Магазин". Зарегистрированные пользователи могут скачать его со странички обновления продукта - http://www.magazin.ru/download_75.shtml .
|
|
| Ирина Шевченко, менеджер проекта ЗАО Аркадия - Irina.Shevchenkoarcadia.spb.ru
26 Jun 2001 7:09 PM |
К сожалению, журналисты упустили несколько существенных деталей, незнание которых может ввести в заблуждение пользователей продуктов, разработанных совместно фирмой «1С» и компанией Аркадия, потенциальных покупателей, а также всех, кто интересуется продуктами для электронной коммерции, построенными на базе программного обеспечения фирмы «1С».
Прежде всего, следует отметить, что авторы не указали точно, о какой именно программе идет речь. Продукта, который авторами статьи именуется "1С:Аркадия", не существует. Компанией Аркадия совместно с фирмой 1С разработано два продукта для электронной коммерции и автоматизации продаж. Это "1С:Аркадия Интернет-Магазин", разработанный в 1997 году для работы с "1С:Предприятие 7.5" и "1С:Аркадия Интернет-Магазин. Конфигурация для Web-расширения системы программ "1С:Предприятие 7.7", выпущенный в 2000 году. Эти продукты реализованы на различной технологии. Обратившемуся 22 июня 2001 г. в компанию «Аркадия» автору статьи, Елене Гусевой (представившейся, правда, корреспондентом агентства «Алгоритм», а не ZDNet.ru) было сообщено, что описанная проблема относится только к продукту «1С:Аркадия Интернет-Магазин» для 1С:Предприятия 7.5» и никоим образом не касается «1С:Аркадия Интернет-магазина для Web-расширения». Эта важная информация почему-то не нашла отражения в публикации.
|
|
| Ирина Шевченко, менеджер проекта ЗАО Аркадия - Irina.Shevchenkoarcadia.spb.ru
26 Jun 2001 7:10 PM |
Считаем нужным отметить, что заметку на www.zdnet.ru можно скорее расценить как рекомендации взломщикам, чем как советы разработчикам и системным администраторам. Авторам, демонстрирующим заботу о безопасности пользователей продукта, на наш взгляд не следовало размещать прямые ссылки на интернет-магазины, использующие старую технологию, провоцируя тем самым хакерские атаки, которые могут нанести ущерб бизнесу этих компаний. Публикация этой информации до выхода соответствующих патчей выглядит особенно двусмысленно и может быть расценена как желание нанести ущерб пользователям и разработчикам продукта.
Странно и то, что авторы сочли возможным опубликовать электронный адрес "хакерского" сайта, содержащего подробное описание пробелов безопасности и инструкций по использованию этих пробелов, однако не упомянули адресов компаний-разработчиков продукта, куда могли бы обратиться с прямыми вопросами все заинтересованные в решении проблемы. Мы выражаем сожаление, что информация о проблемах безопасности продукта получила распространение до выхода решения, устраняющего эти проблемы и приносим свои извинения пользователям нашего продукта за возможные сбои в работе интернет-магазинов, созданных на основе "1С:Аркадия Интернет-Магазин" для 1С:Пердприятия 7.5.
Мы сообщаем, что вечером в пятницу 22.06.2001 (в день опубликования статьи о взломе продукта), компанией "Аркадия" было выпущено обновление модуля tradecli.dll, которое доступно зарегистрированным пользователям продукта "1С:Аркадия Интернет-Магазин" на http://www.magazin.ru/support .
Мы надеемся, что эта существенная информация будет доведена до сведения читателей Вашего издания, а также что впоследствии журналисты ИА "Алгоритм" и ZDNet.ru будут более тщательно и взвешенно подходить к публикации такого рода статей.
|
|
| Snake - tomilinrambler.ru
27 Jun 2001 10:16 AM |
Уважаемая Ирина,
не могли бы Вы прокомментировать, зачем выпускать патч для устранения уязвимостей, которые "не приводят к утечке коммерческой информации и могут быть устранены с помощью «грамотного администрирования»".
Заранее спасибо. |
|
| Ирина Шевченко - Irina.Shevchenkoarcadia.spb.ru
27 Jun 2001 11:57 AM |
Уважаемый Snake,
К сожалению, в первоначальном тексте статьи мой телефонный разговор с одним из авторов статьи Еленой Гусевой был существенно сжат. В разговоре я сказала, что с помощью грамотного администрирования можно устранить часть проблем, в частности, это касается проблемы 2. Кроме того, чтение "произвольного файла с диска" не означает тем не менее доступа к информации в базах данных 1С.
Проблема 3 действительно не решается администрированием. Она связана с работоспособностью сервера, а не с утечкой информации. Тем не менее это серьезная проблема, поэтому мы постарались устранить ее, как только информация о наличии такой ошибки стала нам известна.
Выпущенное обновление trdacli.dll снимает проблемы 2 и 3, что касается первой "уязвимости", мы не считаем ее столь существенной и ведущей к негативным последствиям.
Приглашаем всех заинтересованных получить более подробную информацию обратиться в службу технической поддержки продукта "1С:Аркадия Интернет-Магазин" по электронной почте support@magazin.ru.
|
|
| Snake - tomilinrambler.ru
27 Jun 2001 6:24 PM |
Уважаемая Ирина,
спасибо за ответ.
Если Вы действительно сказали то, что пишите,
то Ваш ответ был не сокращён, а *искажён*.
Было бы интересно услышать корреспондента, позволяющего себе столь вольно трактовать ответы специалистов.
Позвольте не согласиться с Вашим утверждением, что "чтение "произвольного файла с диска" не означает тем не менее доступа к информации в базах данных 1С".
Единственное, на что можно полагаться в случае похищения хранилища - криптостойкость алгоритма, защищающего хранилище информации. А тут вопросов море...
По-моему, не стоит недооценивать 1 - сочетание 1 и 2 существенно облегчали атаку на Вашу систему, как на приложение.
Не будь 1 - и 2 было бы не столь страшно...
Ещё раз спасибо за ответ. |
|
| buggzy, Nerf Security Group
28 Jun 2001 6:52 AM |
Насчет 2 я согласен с мнением, высказываемым Ириной, собственно 1Совские БД этим способом читать невозможно, кто работал с DBF, MS SQL Server и читал первоисточник сообщения об ошибке, поймет. Зато можно читать другие интересные вещи, хранящиеся в текстовом виде. А что касается уязвимости 1... Помните, что я говорил "приводит к утечке коммерческой информации"?
Не буду приводить примеры, когда Microsoft исправлял подобные ошибки, а сразу приду к примерам использования:
http://xxi.ur.ru/scripts/tradecli.dll?template=dfg
Выводит: File: 'e:\inetpub\wwwroot\templates\dfg'
Мы видим, что каталог, откуда берутся файлы скриптов - движка магазина - лежат в подкаталоге templates, т.е. их можно просто забрать оттуда запросом
http://xxi.ur.ru/templates/board.htx
т.е. гордость разработчиков "Лучшего интернет-магащина Урала" можно, пользуясь лишь браузером, упереть - по вине тугодумства "секьюрити аналистов" Аркадии, если таковые там вообще имеются.
Ну, может, это только на XXI так, проверим еще один...
http://www.stylus.mi.ru/shop/Scripts/TradeCli.dll?Template=dfg
File: 'd:\inetpub\wwwroot\shop\templates\dfg'
Аналогично. |
|
| buggzy
28 Jun 2001 12:52 PM |
| Посмотрел патч... Несмотря на то, что исправление уязвимости №1 (критичной для безопасности!) требовало менее минуты дополниьельного времени, "Аркадия" самонадеянно не посчитала нужным исправлять её. |
|
| Служба технической поддержки 1С:Аркадия Интернет- - supportmagazin.ru
28 Jun 2001 12:57 PM |
По поводу уязвимости 1:
Во-первых, можно закрыть доступ к каталогу Templates на уровне прав пользователя IUSR_, от имени которого работает IIS. Для TradeCli.dll доступ к этому каталогу не требуется.
Во-вторых, можно перенести каталог Templates в другое место на диске, недоступное с web сервера (например, не являющееся подкаталогом wwwroot), а в настройках магазина в Диспетчере Интернет-Магазинов отредактировать путь к сценариям (диалог Свойства). |
|
| buggzy - buggzynerf.ru
28 Jun 2001 2:14 PM |
| никто не спорит, (1) и (2) убираются "грамотным администрированием". К сожалению, оба проверенных мной веб-магазина были администрированы "неграмотно", может, так в инструкции написано? :) И именно то, что (1) сообщает путь к templates, позволяет воспользоваться этой неграмотностью. |
|
|
