Fallas de seguridad en Mambo
Noel Vargas
Me llegó esta noticia acerca de una falla de seguridad existente en
Mambo[1]. Mambo es el proyecto base de donde se originó Joomla, para
los que no sabían.
Esto es tomado del artículo:
El problema está en el script mambots/editors/mostlyce/jscripts/
tiny_mce/filemanager/connectors/php/connector.php, el cual no valida
correctamente el argumento file[NewFile][tmp_name], el cual se puede
usar para eliminar archivos como el configuration.php.
El tiny_mce es un editor para campos de texto, basado en Javascript.
Lo más lindo del caso es que la falla también puede permitir crear una
cuenta de tipo administrador adicional si el admin está conectado en
ese momento, permite hacer ataques XSS y CSRF (Cross Site Request
Forgery)[2].
Una falla similar a esta fue reparada en Joomla hace un par de
semanas[3]. Sólo en enero se han reparado 4 fallas de seguridad en
Mambo.
Así que, los que tienen sitios montados con Mambo o Joomla, a revisar!
[1]http://www.heise-security.co.uk/news/102698/from/atom10
[2]http://en.wikipedia.org/wiki/CSRF
[3]http://www.heise-security.co.uk/news/101676/
Noel Vargas
(y no sé pq no puedo publicar más en el tema de Seguridad en Joomla).
Ayer fui notificado de una falla de seguridad existente en Joomla, la
cual no ha sido publicada en ningún sitio de exploits y tampoco tiene
parche (a la fecha). Y no, no conformo parte de ningún grupo de
hackers.
Víctima de este bug fueron algunos sitios de Haroldo Montealegre y
ENITEL. Recordé de la discusión acerca de seguridad en Joomla cuando
mencionaba que nosotros no auditamos el código de estas herramientas,
porque suponemos que está correcto y que sus creadores saben lo que
hacen.
El punto es que, mientras nos dormimos en nuestros laureles confiando
en la capacidad de otros, hay una infinidad de hackers revisando el
código para encontrar fallas y reventar estos sitios.
Este post no es más que un recordatorio para los que están
desarrollando sitios en Joomla: Revisen las variables!
Joaz Rivera
Evidentemente, hay varias maneras de mantener un joomla site seguro, para la
mayoria de tipos de ataques tipo inyecciones.
Esto lo podes hacer efectivo mediante la buena configuración de tu archivo
htaccess. Ya que la mayoria de sitios, lo dejan con la configuración por
defecto y lógicamente ese es el defecto.
Joomla tiene al momento, 3 fallas de seguridad importantes, aun en su
version 1.15, 1 de ellas ya fue corregida, la de remote file inclusión, y
unas correcciones en
if(!defined('RG_EMULATION')) { define( 'RG_EMULATION', 0 ); }
en el archivo de configuracion.
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 05 de Marzo de 2008 08:45 a.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Re: Fallas de seguridad en Mambo
Noel Vargas
Cuando tenés variables débiles, de muy poca ayuda es el .htaccess, a
menos que conozcás algo al respecto que yo no. Si es así, podrías
explicarlo?
En principio tenés razón: Hay que monitorear DIARIO las listas del
software que tenemos en uso, y en el caso de los que tienen clientes
corriendo con Joomla, no imagino el dolor de cabeza que será
mantenerlos a todos al día.
Joaz Rivera
permiten que se realicen conexiones externas comúnmente utilizadas por los
xploits para cms.
Y lógicamente, tenes que saber las variables de importancia que usa joomla.
http://forum.joomla.org/viewforum.php?f=267
en este link, esta el foro oficial dedicado a seguridad joomla, es muy, muy
importante, leerlo, no para estar al dia (porque es logico que si), si no
tambien para saber entender el funcionamiento del núcleo joomla.
Con respecto a monitoreo:
Ahí va la disciplina del webmaster.
Por mi parte, tengo registrado, la version, ultima actualizacion, y datos
necesarios de cada cliente con joomla, en una pequena aplicación hecha en
vb6 por mi persona. Por la necesidad de control.
Cuando existe una actualizacion de alta importancia, o de importancia para
mi, utilizo el mismo programita, para conectarme por ftp a todos los
directorios con los parámetros de consulta, y subo los archivos de forma
automatica., pero ese soy yo.
Que harias voz en un caso que tengas 15 clientes con joomla?
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 05 de Marzo de 2008 11:17 a.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Re: Fallas de seguridad en Mambo
Joaz Rivera
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
-----Mensaje original-----
De: seguridad-softwar...@googlegroups.com
[mailto:seguridad-softwar...@googlegroups.com] En nombre de
Noel Vargas
Enviado el: Miércoles, 05 de Marzo de 2008 11:17 a.m.
Para: Seguridad Software Libre Nicaragua
Asunto: [Seguridad SL Nicaragua] Re: Fallas de seguridad en Mambo
Noel Vargas
quienes tienen un hosting externo/compartido, deben verificar que el
proveedor tenga instalado y activo este módulo para el cliente.
Acá dejo un par de links con información (y así entender lo que hace
lo publicado por Joaz) [2][3].
> RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
> RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
> RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
> RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
> RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
> RewriteRule ^(.*)$ index.php [F,L]
[2]http://www.sitepoint.com/article/guide-url-rewriting
[3]http://www.workingwith.me.uk/articles/scripting/mod_rewrite