m313 Security Blog

Constatar simplemente que el bug de BASE que descubrí en septiembre ha sido insertado en las bases de datos de vulnerabilidades más importantes:

* FrSIRT Advisory: ADV-2007-4021
* Bugtraq ID: 26596
* OSVDB ID: 38792
* Secunia Advisory ID: 27834
* CVE ID: 2007-6156 (ver también: NVD)

Esto además de alimentar mi ego me incentiva para seguir buscando errores en aplicaciones web de código abierto.

Compártelo

En el marco del proyecto Embajadores Slackware he elaborado una pequeña presentación.
En ella se realiza un repaso sobre Slackware, funcionalidades, características, comunidad hispana, recursos y mitos que rodean a esta distribución. Esta presentación está pensada para ser usada en charlas y conferencias destinadas a un publico no slacker que pretenda acercarse a esta distribución.

Podéis descargarlas en el siguiente enlace.

Compártelo

Ultimamente estoy haciendo una presentación para el proyecto Embajadores Slackware que consiste en presentar slack para no iniciados, con sus beneficios, la comunidad hispana y un repaso por los mitos que rodean a la distribución activa más veterana de Linux.

Uno de esos mitos es la no resolución de dependencias en la paquetería tgz. Explicar que esto es debido a filosofía es un argumento muy pobre si tenemos en cuenta que esa presentación está pensada para ser utilizada en charlas a newbies.
Es por eso que incido sobre la posibilidad de resolución de dependencias que SI existe en Slackware Linux. Hablamos en este punto de los diversos programas existentes para ello. Haciendo un breve repaso de alguno de los más conocidos nos encontramos con 3 opciones:

- Swaret: es el que actualmente utilizo, tiene multitud de opciones y aunque la opción upgrade consume muchos recursos me parece el más completo, si bien es un programa un poco dejado de la mano de Dios si tenemos en cuenta la falta de actualización de la aplicación.

- Slapt-get: es un programa muy utilizado por los slackers debido a la simplicidad del mismo, es eficiente y dispone de una aplicación GTK para poder utilizarla muy comodamente en modo gráfico. Personalmente la he utilizado mucho, es un programa muy actualizado( quizás demasiado ) y toda una referencia.

- Slackpkg: es una utilidad pseudooficial( está incluida en la sección extras de slackware oficial ) y es la que menos he utilizado de las tres. En principio es la que mejor se adapta a la filosofía de Slackware ya que solo admite repositorios oficiales, es decir, nada de repositorios tipo linuxpackages.

Hasta aqui solo trato de explicar como es falso o semifalso aquello de que no hay resolución de dependencias en la paquetería tgz.
A partir de entonces paso a hablar de lo que yo denomino “minipaquetes” y de como en Slackware apenas se dan, lo que facilita a mi modo de ver enormemente la gestión de los paquetes.
Un minipaquete es aquel paquete que tiene un contenido mínimo y que podría estar englobado en uno más grande. La problemática de estos paquetes se da en sistemas con resolución de dependencias muy fuerte( ej: Ubuntu ) cuando al instalar un programa instalamos 20 paquetes deb y muchos de ellos no pasan de 50 KB. Esto en principio no es un problema ya que la fuerte resolución de dependencias nos deja un sistema estable, si bien es verdad que cuando listamos los paquetes instalados vemos un gran número de paquetes, de los cuales la mayor parte no sabemos ni qué son ni para qué sirven y eso sí es un problema tanto desde el punto de vista del administrador como desde el punto de vista de la seguridad.

El caso es que mientras preparaba este tema he descubierto un programa para Slack que analiza un sistema y contruye la relación de dependencias en él. Se trata de Slackdeptrack, un programa en modo comandos y que devuelve la salida como html, xml y graphvic.
Puede descargarse en el siguiente enlace.

Compártelo

Autor: Daniel Medianero García ( dmedianero @ gmail.com )
Fabricante: W-Agora – http://www.w-agora.net
Impacto: Cross Site Scripting
URL: http://www.meleagro.es.kz

Aplicaciones afectadas:
———————–
- W-Agora : web publishing and forum software

Versiones afectadas:
——————–
- W-Agora 4.2.1

Sistemas operativos afectados:
——————————
- Multiplataforma(Aplicación web escrita en php)

Versiones no afectadas:
———————–
- Actualmente ninguna

Descripción del producto:
————————–
W-agora(http://www.w-agora.net) Sistema de publicación en Web y foros de discusión, totalmente personalizable de acuerdo con las necesidades del usuario, de código abierto para su libre modificación y distribución. La instalación y configuración es rápida y sencilla.

Descripción de la vulnerabilidad:
———————————
La vulnerabilidad se debe a la mala validación de los parametros de
entrada en el fichero admin_user.php. Concretamente los parámetros
“userid” y “pattern“.

Detalles técnicos:
——————
La explotación de estas vulnerabilidades es posible haciendo
tampering de los parametros mencionados y cambiando su valor por algún vector
de ataque XSS.

Soluciones:
———-
- Actualmente no hay ninguna versión que corrija este fallo. Se recomienda instalar modsecurity con reglas anti XSS.

Histórico:
—————-

03/01/2008 - Vulnerabilidad descubiertas
- Primera notificación a W-Agora Software
- Apertura de bug en Bugtrack #1863010

Descargar advisory (Spanish):SIAADV-08-001-ES.txt

Descargar advisory (English):SIAADV-08-001-EN.txt

Compártelo

Comiezo el nuevo año con nuevos propósitos y nuevos proyectos.
Dando un pequeño impulso a mi lista de todo’s he rescatado el proyecto “Embajadores Slackware“, cuyo fin es la realización de documentos que puedan ser después utilizados para dar a conocer nuestra distribución favorita a no iniciados en diferentes foros: charlas, irc, presentaciones, eventos, etc.

Para la mejor coordinación del proyecto he creado una pagina en el wiki de OpenSlack, que será el foco de actuación del mismo. Sobra decir que todo slacker con ganas de colaborar es bienvenido.

URL: http://open-eslack.org/wiki/index.php?title=Embajadores_slackware

Compártelo