GHalician’s Space

Al final ha hecho falta un segundo aviso, pero al final lo han corregido
Aqui os envio la respuesta a mi ultimo aviso, en el cual detalla el errorde seguridad que existía:

Muchas gracias Xaby por avisarnos. Estamos trabajando ya en una solución.
Un cordial saludo

CEPSA
e-Center

—–Mensaje original—–
De: Xavy [mailto:xavy@ghalician.es]
Enviado el: lunes, 23 de marzo de 2009 20:56
Para: e-center
Asunto: [Fwd: Re: Sugerencia: Sugerencia] Atte, Dpto de Diseño y Seguridad

Buenas tardes:
No hace mucho he remitido a través del formulario de contacto disponible
en su web esta sugerencia, para “sugerir” valga la redundancia la
securizacion de su web, ya que permite el listado de directorios con
plantillas de configuracion y otros archivos que entiendo que no
deberian estar a la vista del usuario, y que podrían convertirse en un
agujero de seguridad, si alguien con no muuy buenas intenciones
investigase sobre ellos.

Como ejemplo, la URL
https://www.porquetuvuelves.com/siteminderagent/aps/templates/ permite
dicho listado, o también
https://www.porquetuvuelves.com/siteminderagent/forms/ (básicamente
cualquier subdirectorio que cuelgue de /siteminderagent/.

Por ello quisiera rogarles que tengan en cuenta la seguridad de sus
usuarios (asi como la de sus sistemas) y tengan a bien securizar este
acceso, a fin de evitar posibles males mayores.

Reciban un atento saludo y a su disposicion para cualquier consulta que
deseasen realizar

Xavy

Básicamente en esos directorios lo que almacenaban eran las plantillas y algunos archivos de configuracion de lo que posiblemente sería un antiguo sistema de gestión que tenían. El hecho de que no los boorrasen con toda seguridad implicaba que las bases de datos no habrían sido borradas, lo cual con no mucha investigación podría llevar a un escalado de privilegios en las mismas (os imaginais por ejempolo acceder a la base de datos que contenga los puntos de porquetuvuelves y poner que tienes 100000000000000000 puntos? Gasolina de por vida gratis, chicos!

Pues vbien hoy he recibido este mensaje por su parte y efectivamente ya han corregido este error, que por menor que fuese, seguramente podia dar lugar a problemas más serios

Ayer os comentaba de la notificación hecha a porquetuvuelves.com debido a un posible advisory en su web:
Pues bien de momento parecen cumplir, pues al menos he recibido una rápida respuesta:

Estimad@ Soci@,

Te informamos que hemos pasado nota al departamento correspodiente para que gestionen la incidencia.

Gracias por contactar con nosotros.

Un saludo,
Porque Tu Vuelves CEPSA, Servicio de Atención al Cliente.
902 545 545
www.porquetuvuelves.com
¿Quieres conseguir un 5% de descuento en tus compras? Visita www.visacepsa.com

Os seguiré informando

Hoy, realizando unas consultas en esta web, he descubierto, lo que más investigado, podría convertirse en un error de seguridad grave. He advertido en la direccion de contacto para que lo puedan corregir, motivo por el cual no voy a explicar los detalles del agujero de seguridad que plantea lo que hoy por casualidad me he encontrado.
Una vez lo solucionen, os comentaré de qué se trataba.