Michael Leimer leimer.name

ChurchTools-Sicherheitsl�cken

Diese Seite enth�lt eine Dokumentation �ber die mir entdeckten Sicherheitsl�cken in ChurchTools. Was ist ChurchTools? Dazu zitiere ich von der Homepage: "ChurchTools ist die ideal zugeschnittene Softwarel�sung f�r die Kirche von heute. Die webbasierte Applikation erm�glicht es allen Beteiligten, jederzeit und von �berall Kirche mitzugestalten."

ChurchTools war bis zur Version 3.55.3 anf�llig f�r XSS (Cross-Site-Scripting). Diese Sicherheitl�cken werden nun �ffentlich gemacht, nachdem sie behoben wurden (Responsible Disclosure).

In ChurchTools war eine gro�e Anzahl von Formularfeldern, in denen Zeichenketten eingegeben werden k�nnen, anf�llig f�r Cross-Site-Scripting. Die gravierendste XSS-Sicherheitsl�cke gab es im ChurchTools-Wiki. Dadurch war im schlimmsten Fall auch ein Eindringen in eine ChurchTools-Installation von au�en m�glich. Innent�ter, also die mit einem ChurchTools-Zugang, war es m�glich, die Identit�t anderer Benutzer zu �bernehmen oder ihre Rechte auszuweiten. Datendiebstahl und Verunstaltung der Anwendung war ebenfalls m�glich.

Weitere Informationen zu den Sicherheitsl�cken (einschlie�lich Proof of Concept) findet man in den beiden Berichten, die ich dem ChurchTools-Support geschickte habe.

ChurchTools-Sicherheitsl�cke: XSS und HTML-Injection in Eingabefeldern - Bericht vom 2. Juni 2019
ChurchTools: XSS und HTML-Injection in Eingabefeldern 2 - Bericht vom 20. Dezember 2019

Chronologie

Zeitliche Reihenfolge �ber die Entdeckung der Sicherheitsl�cken und die Kommunikation mit dem Hersteller.

Ende Mai 2019

Zuf�llige Entdeckung einer kritischen Sicherheitsl�cke bei der Dateneingabe in ChurchTools. Weitere Tests bei weiteren Eingabefeldern f�hren zur Entdeckung der HTML-Injection-Sicherheitsl�cke. Es sind alle Versionen betroffen, einschlie�lich der Version 3.46.2.

1. Juni 2019

Erstellung eines Berichts �ber die Sicherheitsl�cken �ber XSS und HTML-Injection in ChurchTools. Der Bericht enth�lt Vorschl�ge zu Behebung der Sicherheitsl�cken.

2. Juni 2019

Meldung der kritischen Sicherheitsl�cke durch �bersendung des Berichts an den ChurchTools-Support.

3. Juni 2019

Die kritische Sicherheitsl�cke wird best�tigt. Hersteller verspricht, die kritische Sicherheitsl�cke "im Laufe der Woche" in Version 3.46.3 zu fixen. Die Behebung der weiteren Sicherheitsl�cken wird zugesagt: "Die anderen von Ihnen beschrieben Sicherheitsl�cken (Angriffe von innen) werden wir pr�fen Ma�nahmen zur Behebung und so schnell wie m�glich innerhalb der n�chsten Sprints fixen".

4. Juni 2019

Version 3.46.3 erscheint. Die kritische Sicherheitsl�cke ist behoben.

12. Dezember 2019

Erneute Untersuchung der gemeldeten Sicherheitsl�cke durch Angreifer von innen mit der aktuellen Version 3.53.0. Trotz der Zusage per E-Mail, die HTML-Injection-Sicherheitsl�cke bei diversen Eingabefeldern zu pr�fen und zu fixen, ist wenig passiert. Der Fix durch Hersteller ist unzureichend, die Vorschl�ge zur Behebung wurden nicht umgesetzt. Defacement durch HTML-Injection ist weiterhin in im Bericht von Juni 2019 erw�hnten Eingabefeldern m�glich. XSS ist in einigen Felder weiterhin m�glich.

13. Dezember 2019

Weitere Untersuchung des Fixes (clientseitigen Escaping). Dabei werden weiterere XSS-Eingabefelder entdeckt. Bei der Ausweitung der Test von Eingabefeldern wird eine gravierende XSS-Sicherheitsl�cke im Wiki entdeckt.

17. Dezember 2019

Erstellung eines zweiten Berichts.

20. Dezember 2019

Update des zweiten Berichts mit Version 3.54.0. Keine �nderungen zur Vorversion. Erneute Meldung der Sicherheitsl�cken an den Churchtools-Support inklusive �bersendung des zweiten Berichts per E-Mail. Es wird ein Responsible Disclosure vorgeschlagen, also die Ver�ffentlichung von Informationen zu den ChurchTools-Sicherheitsl�cken, nachdem sie behoben wurden - sp�testens jedoch am 1. April 2020, selbst wenn die L�cken noch existieren. Der Support best�tigt den Eingang der E-Mail.

23. Dezember 2019

Die gemeldeten Sicherheitl�cken werden best�tigt. Gleichzeitig wird eine zeitnahe Behebung der gravierenden Sicherheitl�cke im Wiki zugesagt. Dem Responsible Disclosure wird zugestimmt, die Sicherheitl�cken sollen bis Ende April 2020 behoben werden.

10. Januar 2020

Eine E-Mail vom Support k�ndigt an, dass die L�cke in Wiki in der Version 3.54.2 geschlossen wurde. Eigene schnelle Tests best�tigen das. Die XSS-Sicherheitl�cken in den Eingabefeldern sind immer noch vorhanden.

3. M�rz 2020

Mitteilung des Supports: Die "umfassende" Behebung der XSS-Sicherheitl�cken ist mit Version 3.56.0 vorgenommen worden.