站点使用Matomo (Piwik) 0.5.4的APS包(我们称之为“Matomo Remix by Parallels”)商标政策)可能容易受到共享salt值的攻击,这可能允许攻击者欺骗受信任的cookie或nonce。
这是一个第三方问题,具体到这个APS包。供应商已停止维修的包和没有回应询问:一个协调披露。
更新:如果你更喜欢使用Parallels的remix, APS包在9月1日更新为包含Matomo 1.0。
描述:
Parallels的Matomo 0.5.4 remix(版本0.5.4-6)将SaaS应用程序打包标准安装程序与Matomo 0.5.4捆绑在一起。截至今天,该软件包继续通过APSstandard.org应用程序目录分发。remix包含一个安装脚本,它绕过了普通的Matomo安装程序,并使用了一个名为“config.ini.php”的模板。中包含硬编码的盐值。
食盐= "cbdcd503704b27d3a5d51a0c866d8289"
因此,安装remix的所有站点共享一个共同的salt值。这个salt值通常是秘密的,并且是为每个安装生成的伪随机值。在马托莫,秘密盐被用于签名饼干和nces。
此漏洞由Matomo团队发现,并被列为低严重程度。
解决方案:
Matomo团队强烈建议APS包的用户采取以下步骤:
- 手动编辑config/config.ini.php,将salt值更改为一个随机字符串(相同长度)。
- 下载最新的Matomo发行版官方分销渠道,并解压缩文件,覆盖现有的安装。然后浏览到仪表板应该会触发数据库更新。
联系人:
报告安全漏洞或问题security@piwik.org.