lunes, febrero 12, 2007

Bug crítico en Dokuwiki

Estaba pasando el domingo tranquilamente conectado a Internet y mirando algunos proyectos de software libre cuando recibo un email de Iñaki sobre un posible bug en dokuwiki. El error es grave, permite ver todos los ficheros de configuración de dokuwiki incluido el fichero de usuarios con sus passwords cifrados y pertenencias a grupos.

Incialmente Iñaki crea un reporte de bug en la página de dokuwiki. Pero después de analizar el problema y con la ayuda de los comentarios en el reporte de bug de dokuwiki, llegamos a la conclusión que es un fallo de empaquetamiento del software en Debian y es reportado al mantenedor del paquete.

Básicamente todo se puede resumir en que no existe un fichero .htaccess que bloquee el acceso desde el navegador al directorio /etc/dokuwiki, con lo que su contenido es accesible desde Internet. El mantenedor ha lanzado un nuevo paquete con prioridad alta para corregir este bug.

Cuidado con vuestros dokuwikis si usáis Debian.

Etiquetas: , , ,

2 Comments:

Anonymous Iñaki Baz said...

De lo malo malo yo no he encontrado forma de, "gracias" a ese bug, poder autenticarme en Dokuwiki como otro usuario.

El bug es bastante gordo: CUALQUIERA puede ver el listado de usuarios del wiki con sus contraseñas encriptadas, su dirección de correo y el grupo/rol al que pertenece. Además también puede ver la política de permisos de todo el wiki y alguna cosilla más.

Hay algunas aplicaciones web que guardan una cookie en el navegador del usuario que contiene precisamente el valor de la contraseña cifrada, coincidiendo este valor con el valor de la contraseña cifrada en el servidor.
Por suerte comprobé ayer que la cookie que genera Dokuwiki para que el usuario se loguee automáticamente NO almacena la contraseña cifrada tal y como está en el archivo del servidor (ese al que se puede acceder por el bug), por lo que es imposible que a partir de los datos que revela el bug podamos generar una cookie con ese valor y engañar a Dokuwiki. Oh bueno, tal vez es que yo no lo conseguí. XD

En cualquier caso, dentro de lo que cabe, es un pequeño alivio el saber que tantos y tantos Dokuwikis albergados en Debian no son tan inseguros como se podría prever por el bug que nos ocupa.

14/2/07 23:47  
Blogger zako said...

No estoy de acuerdo (del todo). Con la elección de passwords débiles que hace la mayoría de la gente el acceso a ese archivo es crucial aunque las passwords estén cifradas.

Podrían usar ese fichero corriéndolo contra un crackeador de passwords como Jonh the Ripper. Y estoy convencido que obtendrían el password de alguna cuenta. Imaginate que la cuenta es de un administrador...

15/2/07 11:35  

Publicar un comentario

<< Home