[Isis-users] consultas sobre seguridad de Daniel Bisset

spinaker spinaker at adinet.com.uy
Tue Mar 27 01:01:14 CEST 2012 

Estimado Daniel

La semana pasada enviaste una serie de consultas sobre un reporte que 
hicieron los informáticos de tu universidad respecto al tema de 
seguridad de la aplicación ABCD.
En realidad los problemas no tienen nada que ver con ABCD, sino con la 
instalación de Apache y el PHP que es tema de ellos mismos.
El ABCD es totalmente invisible a esos problemas, y deberían ser ellos 
quienen los solucionen
Envio abajo respuestas a las preguntas enviadas
saludos
Ernesto Spinak
------------------------------------------------------------------------

·Configuración de Apache brinda información sobre versiones

Banner: Apache/2.2.14 (Unix) PHP/5.2.12

A través del banner en el puerto 80/TCP se pudo determinar versiones de 
software instalado un servidor. Esta información puede ser utilizada por 
un atacante para conocer la versión exacta de servicios/software 
instalado, de forma de luego poder realizar un ataque usando 
vulnerabilidades conocidas para las mismas.

ES: esto se puede ocultar en la configuración del Apache, no es problema 
de la aplicación.
En el httpd.conf ServerSignature Offy ServerTokens ProductOnly

·Carpetas web navegables

_http://XXX/central/ _Y sus subcarpetas.

Si bien por sí solo no representa una vulnerabilidad, debe revisarse si 
es necesaria esta configuración

ES: esto también es configuración del Apache httpd.conf

Option All Indexes FollowSymLinks Multiviews deberia modificarse a:

Option All FollowSymLinks MultiViews(o sea se elimina Indexes)

Se hace a nivel general o para cada virtual host

·Versión de apache con múltiples vulnerabilidades

La versión de apache instalada posee vulnerabilidades conocidas que 
pueden producir condiciones que van desde la denegación de servicio en 
forma remota a la divulgación de información.

Mas información: ver (CVE-2010-0434),(CVE-2010-0425), (CVE-2010-0408), 
(CVE-2009-3555), (CVE-2007-6750), (CVE-2010-2068), (CVE-2010-1452), 
(CVE-2010-1623), (CVE-2009-3720), (CVE-2009-3560), (CVE-2011-0419), 
(CVE-2011-3348)

ES: eso es un problema de Apache, que debería resolver el Centro de 
Informática poniendo los parches, para eso les pagan el sueldo.

·Verbos soportados por el web server

El servidor Apache soporta los verbos TRACK y TRACE, estos verbos solo 
se utilizan para propósitos de debug y no deberían estar habilitados. 
Estos verbos podrían utilizarse en ataques sofisticados para obtener 
información de un cliente web, por ejemplo sus credenciales de 
autenticación u otros datos sensibles.

ES: que lo deshabiliten, no lo precisamos para el ABCD

·Versión de PHP con múltiples vulnerabilidades

PHP/5.2.12

La versión de PHP instalada en el host es anterior a la 5.2.17.

Las versiones anteriores poseen múltiples vulnerabilidades conocidas, 
muchas de ellas con exploits públicos.

ES: en ABCD se hará upgrade a PHP 5.3 (pero el problema no es de ABCD, 
es del PHP)

·La configuración de PHP expone información sensible

_http://XXX/central/info.php_

La instalación en el host remoto, está configurada de forma tal que 
permite la divulgación de información potencialmente sensible para un 
atacante. Esta información puede accederse a través de una URL especial

ES: que le cambien el nombre, sugieropepitajimenez.php

·Servicio SSH publicado a Internet

8022/TCP /SSH-2.0-OpenSSH_4.7pl Debian-8ubuntu3 
17192/SSH-2.0-OpenSSH_5.3pl Deb¡an-3ubuntu4

Si bien no pudo accederse en las pruebas realizadas, la publicación de 
un servicio de estas características a Internet no se considera una 
buena práctica. Se pudo determinar la versión del software instalado y 
realizar intentos de conexión con pruebas de autenticación por fuerza bruta

ES: esto no tiene que ver con ABCD, alguien habilitó el SSH (se sospecha 
de un informatico)


------------------------------------------------------------------------



-- 
   .^.                                .^.
   ( )                                ( )
   ===                                ===
  =[=]================================[=]=
   | |  Ernesto Spinak                | |
   | |  spinaker at adinet.com.uy        | |
   | |  Montevideo, Uruguay           | |
   | |  tel/fax  (598) 2622-3352      | |
   | |  celular  (598) 99612238      | |
  =[=]================================[=]=
   ===                                ===
   ( )                                ( )
    V                                  V

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.iccisis.org/pipermail/isis-users/attachments/20120326/ee4e0db8/attachment.html>

More information about the isis-users mailing list