Thank you for the information, and prompt response.<br><br><div class="gmail_quote">On Thu, Jul 5, 2012 at 5:32 PM, Ivan Kohler <span dir="ltr"><<a href="mailto:ivan@freeside.biz" target="_blank">ivan@freeside.biz</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Thu, Jul 05, 2012 at 08:34:49AM -0500, Zachery Peres wrote:<br>
> Anyone know a fix, or one in the works?<br>
<br>
</div>First I've heard of it.  We were not notified before publication.<br>
<div class="im"><br>
> Or when there will be an official fix?<br>
<br>
</div>Looking over the advisory, 1.1 seems the most potentially troubling (SQL<br>
injection via selfservice.cgi).  I've tried the "proof of concept" and<br>
looked over the code in question, and I'm having a hard time seeing an<br>
actual problem here so far.<br>
<br>
svcnum is searched for using a placeholder so the first "proof of<br>
concept" URL doesn't run any "injected" SQL, and the second PoC URL is<br>
even harder see any sense in: action is explicitly checked against a<br>
list of allowable values.<br>
<br>
At first look, I think this section of the advisory may be in error and<br>
there is no real SQL injection issue, but I will continue to look<br>
carefully before stating that definitively.  More eyes / clarification<br>
is certainly welcome.<br>
<br>
1.2 concerns cross-site scripting issues in the backend.  It affects<br>
folks with malicious/untrusted employees, or folks running Freeside in a<br>
multi-tenant capacity with similarly possibly-untrusted downstream<br>
company employees.  I don't believe this is particularly high-risk, but<br>
it will be corrected shortly.<br>
<br>
1.3 concerns cross-site scripting issues in the self-service interface.<br>
Again I don't believe this is particularly high-risk, but there is the<br>
possibility it could be leveraged by an attacker to trick individual end<br>
users' browsers into doing things in the self-service interface.<br>
<br>
Realistically this would seem very tough to exploit in practice - with<br>
the session ID in the URL and expiring in an hour, the attack would have<br>
to work in conjunction with a browser "history sniffing" vulnerability<br>
and be carried out less than an hour after the user's last self-service<br>
visit.<br>
<br>
It will also be corrected shortly.<br>
<br>
I should emphasize that neither of these cross-site scripting issues<br>
expose data or allow any privledge escallation or changes.<br>
<br>
A public/formal response will be published shortly.<br>
<div class="im"><br>
> We could fix these ourselves for the time being.<br>
<br>
</div>Contributions are always welcome if you'd like to work with us on the<br>
codebase.  You know, open-source and all.  :)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
_ivan<br>
_______________________________________________<br>
freeside-users mailing list<br>
<a href="mailto:freeside-users@freeside.biz">freeside-users@freeside.biz</a><br>
<a href="http://freeside.biz/cgi-bin/mailman/listinfo/freeside-users" target="_blank">http://freeside.biz/cgi-bin/mailman/listinfo/freeside-users</a><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><b><font size="4"><u>Zachery Peres</u></font></b><div>KwiKom Communications</div><div>3 South Jefferson Avenue</div><div>Iola, Kansas 66749</div><div>(888) 959-4566 x2102</div>
<div>(785) 204-2660 cell</div><div>(620) 228-5318 fax</div><br>