GHalician’s Space

Al final ha hecho falta un segundo aviso, pero al final lo han corregido
Aqui os envio la respuesta a mi ultimo aviso, en el cual detalla el errorde seguridad que existía:

Muchas gracias Xaby por avisarnos. Estamos trabajando ya en una solución.
Un cordial saludo

CEPSA
e-Center

—–Mensaje original—–
De: Xavy [mailto:xavy@ghalician.es]
Enviado el: lunes, 23 de marzo de 2009 20:56
Para: e-center
Asunto: [Fwd: Re: Sugerencia: Sugerencia] Atte, Dpto de Diseño y Seguridad

Buenas tardes:
No hace mucho he remitido a través del formulario de contacto disponible
en su web esta sugerencia, para “sugerir” valga la redundancia la
securizacion de su web, ya que permite el listado de directorios con
plantillas de configuracion y otros archivos que entiendo que no
deberian estar a la vista del usuario, y que podrían convertirse en un
agujero de seguridad, si alguien con no muuy buenas intenciones
investigase sobre ellos.

Como ejemplo, la URL
https://www.porquetuvuelves.com/siteminderagent/aps/templates/ permite
dicho listado, o también
https://www.porquetuvuelves.com/siteminderagent/forms/ (básicamente
cualquier subdirectorio que cuelgue de /siteminderagent/.

Por ello quisiera rogarles que tengan en cuenta la seguridad de sus
usuarios (asi como la de sus sistemas) y tengan a bien securizar este
acceso, a fin de evitar posibles males mayores.

Reciban un atento saludo y a su disposicion para cualquier consulta que
deseasen realizar

Xavy

Básicamente en esos directorios lo que almacenaban eran las plantillas y algunos archivos de configuracion de lo que posiblemente sería un antiguo sistema de gestión que tenían. El hecho de que no los boorrasen con toda seguridad implicaba que las bases de datos no habrían sido borradas, lo cual con no mucha investigación podría llevar a un escalado de privilegios en las mismas (os imaginais por ejempolo acceder a la base de datos que contenga los puntos de porquetuvuelves y poner que tienes 100000000000000000 puntos? Gasolina de por vida gratis, chicos!

Pues vbien hoy he recibido este mensaje por su parte y efectivamente ya han corregido este error, que por menor que fuese, seguramente podia dar lugar a problemas más serios

¿Alguien sabe lo que es BH-IP?

————————–
Actualización: BackHaul
Backhaul (red de retorno): Conexión de baja, media o alta velocidad que conecta a computadoras u otros equipos de telecomunicaciones encargados de hacer circular la información. Los backhaul conectan redes de datos, redes de telefonía celular y constituyen una estructura fundamental de las redes de comunicación. Un Backhaul es usado para interconectar redes entre sí utilizando diferentes tipos de tecnologías alámbricas o inalámbicas.

Un ejemplo de backhaul lo tenemos en los saltos de microondas que se utilizan para conectar las estaciones bases celulares con el nodo principal de esta red.

O sea básicamente una central de conmutación … no?

Ayer os comentaba de la notificación hecha a porquetuvuelves.com debido a un posible advisory en su web:
Pues bien de momento parecen cumplir, pues al menos he recibido una rápida respuesta:

Estimad@ Soci@,

Te informamos que hemos pasado nota al departamento correspodiente para que gestionen la incidencia.

Gracias por contactar con nosotros.

Un saludo,
Porque Tu Vuelves CEPSA, Servicio de Atención al Cliente.
902 545 545
www.porquetuvuelves.com
¿Quieres conseguir un 5% de descuento en tus compras? Visita www.visacepsa.com

Os seguiré informando

Hoy, realizando unas consultas en esta web, he descubierto, lo que más investigado, podría convertirse en un error de seguridad grave. He advertido en la direccion de contacto para que lo puedan corregir, motivo por el cual no voy a explicar los detalles del agujero de seguridad que plantea lo que hoy por casualidad me he encontrado.
Una vez lo solucionen, os comentaré de qué se trataba.

Esto si me parece una buena medida: limitar el sueldo de aquellos que cobran más. No digo que esto vaya a solucionar la crisis, pero desde luego sí ayudará a las entidades financieras a obtener beneficios, sin necesidad de apretar el pescuezo de los trabajadores hasta que por el hueco que quede no quepa ni el grosor de un billete.
Y de paso evita que haya ridículos como el que ha pasado el gobierno de EE.UU. (sorry, Mr Obama, it is not your fault), cuando una empresa a la que habian “tenido” que rescatar les sorprende dando millonarias primas a aquellos directivos que precisamente, con sus decisiones equivocadas, habían provocado la cuasiquiebra de la empresa.