]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/commit
passwordauth: prevent authentication bypass via multiple name parameters
authorSimon McVittie <smcv@debian.org>
Wed, 11 Jan 2017 13:12:50 +0000 (13:12 +0000)
committerSimon McVittie <smcv@debian.org>
Wed, 11 Jan 2017 18:11:06 +0000 (18:11 +0000)
commitf357856448ead271f6d85ab4d0015220a65877df
treec80b408d1016735dc3f097502048a8415f25bc40
parentc7a4d5777261f0cad1e57d5b16788caaf0f74850
passwordauth: prevent authentication bypass via multiple name parameters

Calling CGI::FormBuilder::field with a name argument in list context
returns zero or more user-specified values of the named field, even
if that field was not declared as supporting multiple values.
Passing the result of field as a function parameter counts as list
context. This is the same bad behaviour that is now discouraged
for CGI::param.

In this case we pass the multiple values to CGI::Session::param.
That accessor has six possible calling conventions, of which four are
documented. If an attacker passes (2*n + 1) values for the 'name'
field, for example name=a&name=b&name=c, we end up in one of the
undocumented calling conventions for param:

    # equivalent to: (name => 'a', b => 'c')
    $session->param('name', 'a', 'b', 'c')

and the 'b' session parameter is unexpectedly set to an
attacker-specified value.

In particular, if an attacker "bob" specifies
name=bob&name=name&name=alice, then authentication is carried out
for "bob" but the CGI::Session ends up containing {name => 'alice'},
an authentication bypass vulnerability.

This vulnerability is tracked as OVE-20170111-0001.

(cherry picked from commit e909eb93f4530a175d622360a8433e833ecf0254)
IkiWiki/Plugin/passwordauth.pm