Tema: Mi hosting dice que Gallery tiene código malicios
Ver Mensaje Individual
  #9 (permalink)  
Antiguo 23/01/2004, 10:59
josejoaking
 
Fecha de Ingreso: agosto-2003
Mensajes: 11
Antigüedad: 20 años, 8 meses
Puntos: 0
Lo que me respondieron en los tickets
Saludos Cluster y DJ. Solicité al soporte explicación y me constestaron enojados. Yo tengo que creer todo lo que dicen.

Les dejo el primer ticket:

Sobre GAllery
He quedado muy decepcionado de la poca informacion que dan sobre scripts "maliciosos" he estudiado Gallery y lo único que he encontrado es que hace operaciones con el mod_rewrite de Apache para reescribir URL's.

Este es un script utilizado en sitios tan importantes como maestrosdelweb.com, webmaster al que conozco porque es guatemalteco como yo.

Simplemente decir que tiene código malicioso y no decir cómo lo hicieron creo que no me deja satisfecho. Creo mas que todo que tiene que ver con el mod_rewrite. ¿Acaso el bandwith que ofrecen no es el real?

Usuario/Staff Seguimiento
José Joaquín López
22-1-2004-02:34

EDIT He escrito en el foro de Gallery y me han dicho esto:

Gallery code is not malicious, nor was it written by hackers. It's entirely open source and can be (and has been) scrutinized from a security point of view by many security auditors.

Please invite your ISP to come discuss the problem here on our forums and I'll be happy to answer any questions they have about how the code works.


Yo no quiero que me quiten mi galeria solo porque alguien dice que es codigo malicioso.


Patricio Robledo
22-1-2004-07:50

Estimado José Joaquín:

Gallery es un script potencialmente peligroso, está pésimamente mal escrito y permite a cualquier persona que tenga un mínimo de conocmientos accesar el servidor donde se encuentra instalado y ejecutar exploits.

Si nosotros somos para usted solo "alguien que le dice algo", y no sus administradores de seguridad, pensamos que nuestra relación comercial con usted entonces está absolutamente errada.

Usted puede ver algo de información en los siguientes enlaces, y si no le bastan, estamos dispuestos a enviarle otros mil enlaces más que hacen directa alusión al problema:


http://www.secunia.com/advisories/9998/
http://www.secunia.com/advisories/9376/
http://maliciouslabs.tk/
http://www.microsoft.com/technet/sec...n/fq00-015.asp
http://www.securiteam.com/windowsntf...erability.html
http://support.microsoft.com/default...b;EN-US;256167
http://archives.neohapsis.com/archiv...3-q4/0090.html
http://www.nukecops.com/modules.php?...e=print&sid=56
http://svenrox.com/53cur1ty.php
http://freshmeat.net/articles/view/933/
http://xforce.iss.net/xforce/xfdb/13419
http://www.derkeiler.com/Mailing-Lis...3-02/0119.html
http://cert.uni-stuttgart.de/archive.../msg00140.html
http://www.securitytracker.com/alert...p/1007664.html
http://seclists.org/lists/bugtraq/2003/Sep/0091.html
http://archives.mandrakelinux.com/qm...8/msg00001.php
http://channel.bulport.com/index.php?fcid=11
http://www.securiteam.com/unixfocus/5DP0E15B5G.html
http://lists.alphanet.ch/pipermail/g...er/000079.html
http://cert.uni-stuttgart.de/archive.../msg00006.html
http://phpnuke.org/modules.php?name=...ticle&sid=6033
http://www.xoops.org/modules/news/ar...hp?storyid=362

Una prueba fehaciente es que en este momento tenemos dos servidores, y a todos sus clientes, fuera de línea gracias al excelente código open-source con que estos dos scripts mencionados han sido desarrollados.

Lamentamos su percepción acerca de nuestros servicios, pero tenemos que velar por la seguridad de nuestros usuarios en general y no trabajar permitiendo la instalación de cualquier basura disponible en Internet en beneficio de un solo usuario, contra todos los demás que han confiado sus datos a nosotros.

Saludos,

-------------
Patricio Robledo E.
Staff Soporte
www.SoporteHosting.com
Hostingfull.com
Powerfullhost.com
StartLight Technologies
Patricio Robledo
22-1-2004-07:59

(los primeros enlaces, relacionados con Microsoft, hacen mención a otra vulnerabilidad no relacionada, los enlaces fueron tomados al azar desde google y es por eso que se incluyeron por error en la lista enviada)

-------------
Patricio Robledo E.
Staff Soporte
www.SoporteHosting.com
Hostingfull.com
Powerfullhost.com
StartLight Technologies
Patricio Robledo
22-1-2004-08:08

Estos son los comentarios a una revisión de seguridad de Gallery, por lo que nadie en ese foro puede decir que su producto ha sido auditado como usted menciona:

Gallery has a security hole where any other user on the same webserver
can create, modify or destroy photos in a given album directory.

Also Gallery requires that you turn off safe mode.

Each gallery setup needs a temp directory and an album directory.

Gallery accesses the album directory in a manner that requires
permissions of 755.

eg:
drwxr-xr-x 5 www wheel 512 Feb 9 16:02 albums

and inside albums:
ls -l
total 16
drwxrwxr-x 2 www wheel 3584 Feb 9 16:19 album01
drwxrwxr-x 2 www wheel 5120 Feb 9 16:25 album02
-rw-r--r-- 1 www wheel 65 Feb 9 16:02 albumdb.dat
-rw-r--r-- 1 www wheel 65 Feb 9 16:02 albumdb.dat.bak
-rw-r--r-- 1 www wheel 0 Feb 9 14:05 albumdb.dat.lock
-rw-r--r-- 1 www wheel 11 Feb 9 15:42 serial.dat

As a result anyone who has ever set up a gallery before can just have a
cgi running as user www (or whatever user apache is running as) move
files around.

This can be exploited with everything from SSI, perl to even php.

So on shared hosting gallery is a bad idea.

There is no fix for this as of this time.
This is a product of poor default web application security design.

-------------
Patricio Robledo E.
Staff Soporte
www.SoporteHosting.com
Hostingfull.com
Powerfullhost.com
StartLight Technologies











soportehosting.com : Hora: 12:44:01 P.M. (23/1/2004)
__________________
José Joaquín López
http://www.blogia.com/webmaster_aficionado/