jquery.min.js XSS Schwachstellen

Begonnen von ToKa, 06 August 2021, 19:33:56

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

ToKa

06 August 2021, 19:33:56
Hallo zusammen,

ich habe heute mal in meinem Netzwerk eine Schwachstellenscanner laufen lassen. Der hat für die Datei fhem/pgm2/jquery.min.js ergeben, dass die installierte Version 1.11.2 mehrere cross site scripting Schwachstellen aufweist.

Das lässt sich mit einer Version 3.5.0 oder neuer beheben.

Wäre es nicht am besten, die Datei per fhem Update auszutauschen?

Viele Grüße
Torsten
RaspberryPi3 mit RaZberry2 und Conbee II
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Shelly2.5 Rollladenaktoren
Zipato Bulb 2, Osram und InnrLight

rudolfkoenig

#1
06 August 2021, 19:56:23
Ein Austausch ist nicht unproblematisch, vmtl. funktioniert danach Etliches nicht mehr, und muss nach und nach korrigiert werden.

Und eigentlich(TM) wollte ich jquery nicht mehr verteilen, sondern diese Installation an dem Endanwender delegieren (gerne automatisiert). Womoeglich koennte das beschriebene Problem mich dazu motivieren.

Betreffen uns die gefundenen Schwachstellen konkret, oder ist das eine theoretische Betrachtung?

ToKa

#2
06 August 2021, 21:50:46
Bin gerade nicht am Rechner, mit dem ich den Scan gemacht habe. Der Scanner liefert weitere Hinweis, aber beim googlen findet man z.b. das

https://www.infoq.com/news/2020/04/jquery-35-xss-vulnerability-fix/

VG
Torsten
RaspberryPi3 mit RaZberry2 und Conbee II
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Shelly2.5 Rollladenaktoren
Zipato Bulb 2, Osram und InnrLight

rudolfkoenig

#3
07 August 2021, 09:37:03
Was Vergleichbares habe ich auch schon gelesen, das Problem bleibt aber fuer mich theoretisch. Falls jemand ein valides Angriffszenario beschreiben kann, bitte melden.

FHEMWEB ist nicht der typische XSS Angriffsziel, da es im Normalfall nicht fuer Angreifer offen ist.  Als Beispiel kann ich mir eine eingeschraenkte FHEMWEB Oberflaeche vorstellen (z.Bsp. fuer Gaeste), wo ein Gast dank XSS was kaputtmacht, indem er kompromittierte Daten eingibt. Wenn man aber was eingeben kann, dann braucht man um XSS keine Sorgen zu machen.

P.S.: XSS ist nicht mit CSRF zu verwechseln.

ToKa

#4
08 August 2021, 12:48:07
Hallo Rudi,

hier mal noch der Link des Scanners mit den Informationen zum Exploit
https://www.tenable.com/plugins/nessus/136929

VG
Torsten
RaspberryPi3 mit RaZberry2 und Conbee II
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Shelly2.5 Rollladenaktoren
Zipato Bulb 2, Osram und InnrLight

rudolfkoenig

#5
08 August 2021, 14:53:49
Danke, ich habe sie gelesen (und auch andere Beschreibungen), mir fehlt aber noch die Fantasie, inwieweit das fuer FHEM Benutzer zu einem konkreten Problem werden kann.
Das heisst nicht, dass ich mich gegen ein Upgrade sperre, nur die Dringlichkeit ist fuer mich nicht so hoch. Gerade wenn ich an das Testen und Fixen der Erweiterungen/Frontends denke, die nicht mehr aktiv gepflegt werden :)
Drucken
Nach oben Seiten1
Benutzer-Aktionen