Thursday, 27 November 2008

Botelín de Seguridad: WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability

Hola,

Wordpress-MU, es la versión multi usuario de Wordpress, permite ejecutar ilimitadas instancias de blogs con una única instalación de wordpress. Su uso está muy extendido, algunos ejemplos son Wordpress.com (índice 28 en Alexa) o en universidades como Harvard.

Este post tenía que haber visto la luz hace tiempo (por septiembre), pero se ha demorado hasta ahora.
El 6 de agosto, publiqué un llamamiento a la actualización para Wordpress MU < 2.6 debido a un bug encontrado que hacía posible el robo de credenciales.

Todo empezó el 14 de Mayo, cuando debido a mi trabajo, empezamos a trabajar con Wordpress MU, lo genial que tiene el código abierto es que tu mismo puedes auditar el código que va a correr sobre tus máquinas, siendo esto esencial. Ese mismo día, realizando unas pruebas a la plataforma encontré un bug XSS (Cross Site Scripting) en el panel de adminstración que permite a un atacante robar las cookies al Administrador del sitio y (tenga o no tenga usuario en el sistema) convertirse automágicamente en Adminsitrador Global del Sitio.

Ese mismo día el error fue notificado al equipo de desarrollo de Wordpress MU, me sincronizé con ellos para parchear el código en la rama trunk, después de un par de intentos (en el primero se les quedo un cabo suelto ;)) por fin, sólo dos días después (el 16 de mayo) conseguimos solventar completamente el problema. Más tarde veía la luz la esperada versión 2.6 que incluía esta serie de parches. La solución pasa por instalar cualquier versión superior o igual a la 2.6, tan sólo hace dos días anunciaban el lanzamiento de la versión 2.6.5

Quiero agradecer al equipo de desarrollo, en especial al desarrollador principal Donncha por su cooperación y también por añadirme en los créditos. Gracias!

Del mismo modo los administradores de esta red en la Universidad de Alicante también fueron notificados lo antes posible sobre el error, y proporcioné los parches que eran necesarios.

El boletín de seguridad ha sido publicado en los sitios web y listas con más renombre a nivel internacional y las bases de datos de vulnerabilidades más relevantes sobre seguridad informática:


CVE ID: 2008-4671 Common Vulnerabilities and Exposures

NVD, National Vulnerability Database del NIST (US-CERT)
Bugtraq ID, SecurityFocus
Secunia Advisory ID
OSVDB, Open Source Vulnerability Database
Full-disclosure







Podeis leer el Advisory entero aquí mismo:



- Security Advisory -

- - WordPress MU < 2.6 wpmu-blogs.php Cross Site Scripting vulnerability -
- -----------------------------------------------------------------------


Product: Wordpress-MU (multi-user)
Version: Versions prior to 2.6 are affected
Url: http://mu.wordpress.org
Affected by: Coss Site Scripting Attack


I. Introduction.

Wordpress-MU, or multi-user, allows to run unlimited blogs with a
single install of wordpress. It's widely used, some examples are
WordPress.com or universities like Harvard


II. Description and Impact

Wordpress-MU is affected by a Cross Site Scripting vulnerability, an
attacker can perform an XSS attack that allows him to access the
targeted user cookies to gain administrator privileges

In /wp-admin/wpmu-blogs.php an attacker can inject javascript code,
the input variables "s" and "ip_address" of GET method aren't properly
sanitized


Here is a poc:

PoC: http://site/path/wp-admin/wpmu-blogs.php?action=blogs&s=%27[XSS]
PoC:
http://site/path/wp-admin/wpmu-blogs.php?action=blogs&ip_address=%27[XSS]


The impact is the attacker can gain administrator privileges on the
application.


III. Timeline

May 14th, 2008 - Bug discovered
May 14th, 2008 - Vendor contacted and the start of a syncronized
code patching
May 16th, 2008 - MU trunk code fixed
July 28th, 2008 - WPMU 2.6 released
September 2nd, 2008 - WPMU 2.6.1 released
September 29th, 2008 - Security advisory released


IV. Solution

Upgrade to version 2.6 or upper of wordpress multi-user. It can be
downloaded from http://mu.wordpress.org


V. Credits

Juan Galiana Lara
http://blogs.ua.es/jgaliana

GNU/Linux en tu llavero: Distribuciones Live y Virtualización

Una nota rápida para daros el enlace a las slides que utilizamos Héctor y yo en el taller sobre GNU/Linux que comenté ayer en la universidad que llevaba por nombre el título de este post

Descarga: PDF [1.9M]

Wednesday, 26 November 2008

IV Jornadas por el Conocimiento Abierto y el Software Libre celebradas en la Universidad de Alicante

Hola!,

La semana pasada durante los días 20 y 21 de Noviembre se celebraron las IV Jornadas por el Conocimiento Abierto y el Software Libre en la Universidad de Alicante.

Este evento está organizado de la mano del Vicerrectorado de Tecnología e Innovación Educativa a través de la iniciativa COPLA la cual tiene como objetivo difundir el conocimiento abierto e implantar soluciones de software libre en la universidad.

El primer día consistió en conferencias, a las cuales, sólo pude acercarme a la primera, que estuvo interesante, trató sobre start-ups relacionadas con el softeware libre, y el segundo día se impartieron varios talleres.

Un par de miembros de GULA (Grupo de Usuario de Linux de Alicante) impartimos un taller sobre GNU/Linux: Distribuciones Live y Virtualización en dos sesiones y que tuvo una muy buena acogida, presentando las ventajas del uso de dispositivos de almacenamiento externo usb como soporte para llevar GNU/Linux a cualquier lugar, ya fuera de forma arrancable mediante sistemas live o empleando software de virtualización, con las ventajas que esto conlleva: sin interacción con el disco, problemas con permisos, privacidad, cómodidad en cuanto a perfiles y datos móviles, un sistema totalmente personalizado y con persistencia de datos.

Por último se presentó una solución para virtualizar GNU/Linux sin requerir instalar ningún tipo de software en la máquina gracias a Qemu (actualmente único software que permite realizar este tipo de técnica) por la cual, podemos llevar en un dispositivo de almacenamiento usb tanto la imagen como el software de virtualización al más estilo "todo en 1".

Este tipo de eventos sirve para concienciar a la gente en este movimiento, que ya a día de hoy es imparable, y para convencer a la gente que piensa del modo "eso es una moda", o "tiene los días contados"..., señores el software libre ha llegado para quedarse.

Más tarde tengo pensado colgaros la presentación, así como un par de post pendientes...


GULACOPLA


Saludos!

Thursday, 6 November 2008

Últimos Congresos y Jornadas relacionados con Informática

Hola,

Hace ya bastante tiempo desde la última vez que escribí por aquí... aunque tengo intención de recuperar el hilo para publicar muchas ideas que tengo en la cabeza.

En este post enumero rápidamente algunos de los últimos congresos/jornadas a los que he asistido:

- Google Developer Day 2008 (25 Sept 2008) Madrid. Google Inc.

Google Developer Day es un evento que se celebra un varias ciudades a lo largo de todo el mundo, y en concreto en Madrid es el 2º año que se realiza. Consta de conferencias técnicas y talleres a manos de los ingenieros de Google y el lugar elegido fue el parque de atracciones de madrid, además este año coincidió con el 5º Aniversario de Google España y a última hora hubo fiesta y tarta de cumpleaños. Yo personalmente lo pasé muy bien y la organización fue excelente, aprovecho para mandar un saludo para Clara e Isabel, sin olvidarme de Chewy ;)

- Encuentro Multidisciplinar sobre Tecnologías de la Información y las Comunicaciones para la Asistencia Social y Sanitaria. Oct 2008. Grupo de domótica y ambientes inteligentes. Dpto Tecnología Informática y Computación. Universidad de Alicante

- V Jornadas para el Desarrollo de Grandes Aplicaciones en Red (JDARE). Grupo de investigación de Redes y Middleware. Dpto. Tecnología Informática y Computación. Oct 2008 Universidad de Alicante

- Asegur@IT IV. Microsoft TechNet, S21Sec, CryptoRed (UPM), Informática64, Debian. 27 Oct 2008.
Evento sobre seguridad informática dirigido a profesionales de IT, celebrado en el Centro de Formación en Tecnologías de la Información y Comunicaciones Madrid-Sur Getafe, (Madrid), la agenda fue muy interesante:

Alfonso Muñoz (UPM): Esteganografía 2.0: Pasado, presente y futuro de la ocultación de las comunicaciones
David Barroso (S21Sec): Botnets 2.0: adquiriendo el control de Internet
Chema Alonso (Informática64): RFD. Descarga de ficheros con Blind SQL Injection
Luciano Bello (Debian). Debian OpenSSL Bug, el cómo, el porqué y las consecuencias
Héctor Sánchez Montenegro (Microsoft) ¿Qué está haciendo Microsoft en Seguridad?

Además tuve la oportunidad de intercambiar algunas palabras con Chema Alonso y Luciano Bello, espero poder volver a asistir a otro de los muchos eventos que organizan y porqué no, colaborar con ellos en un futuro.



.


En el punto de mira:

- III Congreso de Software Libre de la Comunidad Valenciana. Conselleria d’Educació de la Generalitat Valenciana. Palacio de Congresos de Alicante

Los días 5, 6 y 7 de Noviembre se está celebrando en Alicante este congreso de Software Libre que reúne a 1500 asistentes y ponentes de todo el mundo para hablar de algo que hoy día se ha convertido en imprescindible cuando hablamos de informática: El Software Libre.

Tuve la oportunidad de estar ayer y hoy mismo, han habido gran cantidad de charlas y talleres durante todo el día. Mañana se clausurará el evento alrededor de la 13:00 horas.

En el congreso además de presentar la nueva versión de Lliurex (8.09), han venido hasta Alicante personalidades importantes del mundillo como Jon "Maddog" Hall (de Linux Internacional), y que hoy mismo asistí a su conferencia (aunque no es la primera vez que le veía), a los que se suman Marcelo Tosatti (Red Hat) y muchos otros (gente de Sun, Mozilla, OpenOffice, Ubuntu, etc).

También volvió a España Luciano Bello (desarrollador de Debian) con el que pude charlar un rato. Del mismo modo ha habido tiempo para mesas redondas locales, como la de hoy a última hora sobre software libre en las universidades de la comunidad valenciana en la que ha participado el Vicerrector de Tecnología e Innovación Educativa de la UA, y que ha resultado entretenida ya que cada participante ha expuesto qué se está haciendo en cuanto a promoción y uso del software libre en su universidad y se han visto distintos puntos de vista.

Destacar la gran cantidad de conferenciantes (durante tres días, dos de ellos mañana y tarde) con 5 salas más el auditorium, realizandose conferencias y talleres simultaneamente, además de la presencia de empresas con stands en la primera planta.

Simplemente decir que espero no perderme el IV!

- IV Jornadas por el Conocimiento Abierto y Software Libre de la Universidad de Alicante, ya tenemos la vista puesta en estas jornadas que organiza el Vicerrectorado de Tecnología e Innovación Educativa a través del Proyecto COPLA (Conocimiento Abierto y Software Libre en la Universidad de Alicante) donde participaremos como otros años atrás, ya os contaré más. Será el 20 y 21 de noviembre y estais todos invitados.

Enlace: http://copla.ua.es

- Encuentro Interdisciplinar de Domótica. Dpto. Tecnología Informática y Computación, que tendrá lugar los próximos 11 y 12 de diciembre en la Universidad de Alicante

Enlace: http://www.dtic.ua.es/dai/eid/

Por ahora eso es todo.