m313 Security Blog

En menos de un día los competentes trabajadores del FSIRT han modificado el aviso de seguridad FrSIRT/ADV-2007-4021 para incluir mi nombre en los creditos de la vulnerabilidad:

Sigo esperando una rectificación por parte de KJ.

Compártelo

Autor: Daniel Medianero García ( dmedianero @ gmail.com )
Fabricante: BASE – http://base.secureideas.net/
Impacto: Cross Site Scripting
URL: http://www.meleagro.es.kz

Aplicaciones afectadas:
———————–
- Basic Analysis and Security Engine

Versiones afectadas:
——————–
- BASE 1.3.8(jodie)

Sistemas operativos afectados:
——————————
- Multiplataforma(Aplicación web escrita en php)

Versiones no afectadas:
———————–
- Iguales o superiores a BASE 1.3.9(anne)

Descripción del producto:
————————–
BASE(http://sourceforge.net/projects/secureideas/) es una interfaz
web de administración de alertas del detector de intrusos Snort.Está escrita
en php y soporta varias BBDD, entre ellas MySQL, Postgree, etc.
Es el producto más utilizado para ver/clasificar las alertas de Snort.
Su origen es el ya historia ACID( Analisys Control Intrusion Detection ).

Descripción de la vulnerabilidad:
———————————
La vulnerabilidad se debe a la mala validación de los parametros de
entrada en el fichero base_qry_main.php. Concretamente los parámetros
sig%5B0%5D y sig%5B1%5D.

Detalles técnicos:
——————
La explotación de estas vulnerabilidades es posible haciendo
tampering de los parametros mencionados y cambiando su valor por algún vector
de ataque XSS como el siguiente:

‘;!–” <script> alert (document.cookie); </script>

Soluciones:
———-
- Actualice el software a la última versión disponible por el fabricante (actualmente v1.3.9)

Histórico:
—————-

24/09/2007 - Vulnerabilidad descubiertas
– Primera notificación a Secureideas
– Secureideas solicita información más extensa
– Proporciono dicha información y abro el bug en Bugtrack #1801192
13/10/2007 - Secureideas asigna al bug una prioridad alta(9)
20/11/2007 - Secureideas informa de que el bug ha sido arreglado.
- Se publica la versión 1.3.9(anne)
28/11/2007 - El bug es publicado por el FSIRT(FrSIRT/ADV-2007-4021)

Descargar advisory (Spanish):SIAADV-07-005-ES.txt

Descargar advisory (English):SIAADV-07-005-EN.txt

Compártelo

Es increible, la degeneración desde el software libre al imperialismo personalista de los que creen ya no que las herramientas son de su propiedad, sino que utilizan el conocimiento de los demás para ponerse medallas que no merecen.
Estoy hablando del BUG de BASE que llevo mareando desde hace dos meses. Ese bug que YO, DANIEL MEDIANERO GARCÍA, meleagro, m313 descubrí, ese bug que no reporté publiamente hasta ver que no lo tomaban en serio, y que a raiz de su publicación ha sido corregido recientemente en la nueva release de BASE 1.3.9 (anne).

Claro que si entras en el CHANGELOG de BASE no verás mención alguna hacia mi persona en relación con el bug de seguridad por Cross Site Scripting, aunque en BUGTRACK pueda verse claramente que la persona que descubrió el bug es la persona que hizo el documento sobre BASE+Snort en Slackware( osea yo mismo), y esto esté admitido en el CVS del documento en cuestión e incluso en el propio CHANGELOG de BASE:

Puede pensarse que esto es una cuestión de ego. En efecto, lo es.
Pero también tengo que decir que no puede arrebatarseme lo que es mio, agradezco a Kevin Johnson( lider del proyecto BASE, en adelante KJ ) su trabajo en la aplicación pero no puedo pasar por alto este grave fallo y así se lo he hecho saber por correo electrónico.

Desde que descubrí el fallo he estado a su completa disposición, y he aportado documentación para resolverlo a la mayor brevedad posible.
Pero es muy facil adjudicarse el trabajo ajeno y aparecer en la foto.

Hoy veo que el FSIRT(French Security Incident Response Team) se hace eco de esta vulnerabilidad y la ha publicado, por supuesto y dado que desde el proyecto BASE se ningunea mi trabajo podemos ver que en los creditos del bug no hay mención alguna hacia mi persona:

Se lo he hecho saber al FSIRT y también a KJ. Del FSIRT aún no he recibido respuesta y del intercambio de correos con KJ solo veo por su parte lo doloroso que le es dedicar su tiempo libre a un proyecto OpenSource, bla bla bla.
Si KJ, sé lo que es dedicar tiempo a actividades que no repercutirán directamente sobre tu bolsillo. Dedico bastante tiempo a participar en la comunidad Slackware, a proveerla de documentación, paquetes, intervengo en foros, canales de IRC, He participado en la creación de proyectos como Open-Eslack, comunidad de la que sigo formando parte e incluso creo mis propios proyectos como XSSnortRules o “Embajadores Slackware”, que estoy madurando antes de darle el escopetazo definitivo.
Además de todo eso KJ, también le dedico mi tiempo a buscar fallos de seguridad en aplicaciones de mi interés, tal es el caso de BASE.

Pero no te preocupes KJ, lo bueno de las licencias OpenSource es que aunque te adjudiques mi trabajo, el código es libre y por tanto puede crearse un fork de BASE facilmente.

Así son las cosas y así se las hemos contado.

Compártelo

Mucho tiempo ha pasado desde el 27 de Diciembre del 2001, día en que salió nikto 1.10, la primera versión estable de éste web scanner.
Algunos podíamos pensar que el proyecto andaba muy parado, sin embargo hoy acabo de ver en la web oficial que ha salido a la luz la nueva serie 2.0.

Como es de esperar tra importantes novedades que no voy a traducir, creo que es más util consultar el changelog.

En la web se dispone también de un manual breve pero muy util.

Compártelo

Nuevamente hablo de mi libro, y aún a riesgo de ser pesado( que lo soy ) vuelvo a contar la misma película pero con diferentes protagonistas. Un interesante remake.

En esta ocasión el escenario no cambia: internet, repite parte del reparto con m313( yo mismo ) y mi libro( la guia de Snort ) y hay nuevos actores en escena: Sourcefire, o lo que es lo mismo: la empresa propietaria de Snort.
La trama es la ya conocida, han publicado mi guia en la web oficial !!!!

Seguimos en la cresta de la ola

Compártelo