02.15
Kilka dni temu przeglądałem sobie źródełka paczuszki python-webdav z oficjanego repo Debiana wheeze (problem ten dotyczy chyba jednak także innych wersji, od squeezy wzyż)…
I choć był to 3 dzień mojej nauki pythona, przeglądając kod zauważyłem dosyć ciekawe podejście co do security (copyright jest z 1999 roku.. zatem pewnie data powstania będzie mu bliska)…
/usr/share/pyshared/DAVServer/mysqlauth.py >> >> line 36: qry="select * from %s.Users where User='%s' and \n Pass='%s'"%(Mysql.dbtable,user,pw)
Mimo szukania jakiegokolwiek escapowania w kodzie nie natknąłem się na cokolwiek, co by chociaż je przypomniało… Cóż…. życie..
Zastanawiający jest fakt, jakim prawem aż tak dziurawy pakiet trafił do oficjalnego repozytorium i mógł być instalowany przez użytkowników.. Gorzej – błąd ten pozwalał na obejście logowania, włączenia prawa zapisu i edycji plików znajdujących się na serwerze… Sytuacje można porównać do serwera FTP pozwalającego na logowanie się i edycję plików każdemu… Na szczęście pakiet nie jest jakoś szczególnie popularny…
PS: odpowiednie osoby zostały powiadomione
Link http://www.debian.org/security/2011/dsa-2177
„wheezy” i „squeeze”, nie na odwrót