Agosto 13
ICME11
SA-2008-047 - Drupal core - Multiple vulnerabilities
Security announcements
Heine - August 13, 2008 - 23:27

    * Advisory ID: DRUPAL-SA-2008-047
    * Project: Drupal core
    * Version: 5.x, 6.x
    * Date: 2008-July-13
    * Security risk: Highly critical
    * Exploitable from: Remote
    * Vulnerability: Multiple vulnerabilities

Description

Multiple vulnerabilities and weaknesses were discovered in 
Drupal.
Cross site scripting

A bug in the output filter employed by Drupal makes it possible 
for malicious users to insert script code into pages (cross site 
scripting or XSS).

A bug in the private filesystem trusts the MIME type sent by 
the browser, enabling malicious users with the ability to upload 
files to execute cross site scripting attacks.

These bugs affects both Drupal 5.x and 6.x.
Arbitrary file uploads via BlogAPI

The BlogAPI module does not validate the extension of 
uploaded files, enabling users with the "administer content 
with blog api" permission to upload harmful files.

This bug affects both Drupal 5.x and 6.x.
Cross site request forgeries

Drupal forms contain a token to protect against cross site 
request forgeries (CSRF). The token may not be validated 
properly for cached forms and forms containing AHAH 
elements.

This bug affects Drupal 6.x.

User access rules can be added or deleted upon accessing a 
properly formatted URL, making such modifications vulnerable 
to cross site request forgeries (CSRF). This may lead to 
unintended addition or deletion of an access rule when a 
sufficiently privileged user visits a page or site created by a 
malicious person.

This bug affects both Drupal 5.x and 6.x.
Various Upload module vulnerabilities

The Upload module in Drupal 6 contains privilege escalation 
vulnerabilities for users with the "upload files" permission. 
This can lead to users being able to edit nodes which they are 
normally not allowed to, delete any file to which the webserver 
has sufficient rights, and download attachments of nodes to 
which they have no access. Harmful files may also be 
uploaded via cross site request forgeries (CSRF).

These bugs affect Drupal 6.x.

Agosto 14
Se cumplen 3 meses de que estoy rentando un vps en tectonic para ver las diferencias entre un host con xen y otro con virtuozzo.

Agosto 18
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1629-1                  
security@debian.org
http://www.debian.org/security/                          Thijs 
Kinkhorst
August 18, 2008                       
http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : postfix
Vulnerability  : programming error
Problem type   : local
Debian-specific: no
CVE Id(s)      : CVE-2008-2936

Sebastian Krahmer discovered that Postfix, a mail transfer 
agent,
incorrectly checks the ownership of a mailbox. In some 
configurations,
this allows for appending data to arbitrary files as root.

The default Debian installation of Postfix is not affected. Only 
a
configuration meeting the following requirements is vulnerable:
 * The mail delivery style is mailbox, with the Postfix built-in
  local(8) or virtual(8) delivery agents.
 * The mail spool directory is user-writeable.
 * The user can create hardlinks pointing to root-owned 
symlinks
  located in other directories.

For a detailed treating of this issue, please refer to the 
upstream
author's announcement:
http://article.gmane.org/gmane.mail.postfix.announce/110

For the stable distribution (etch), this problem has been fixed 
in
version 2.3.8-2etch1.

Agosto 19
- ------------------------------------------------------------------------
Debian Security Advisory DSA-1629-2                  
security@debian.org
http://www.debian.org/security/                          Thijs 
Kinkhorst
August 19, 2008                       
http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : postfix
Vulnerability  : programming error

Problem type   : local
Debian-specific: no
CVE Id(s)      : CVE-2008-2936

Due to a version numbering problem, the Postfix update for 
DSA 1629 was
not installable on the i386 (Intel ia32) architecture. This 
update
increases the version number to make it installable on i386 
aswell.
For reference the original advisory text is below.

Sebastian Krahmer discovered that Postfix, a mail transfer 
agent,
incorrectly checks the ownership of a mailbox. In some 
configurations,
this allows for appending data to arbitrary files as root.

Note that only specific configurations are vulnerable; the 
default
Debian installation is not affected. Only a configuration 
meeting
the following requirements is vulnerable:
 * The mail delivery style is mailbox, with the Postfix built-in
  local(8) or virtual(8) delivery agents.
 * The mail spool directory (/var/spool/mail) is user-writeable.
 * The user can create hardlinks pointing to root-owned 
symlinks
  located in other directories.

For a detailed treating of the issue, please refer to the 
upstream
author's announcement:
http://article.gmane.org/gmane.mail.postfix.announce/110

For the stable distribution (etch), this problem has been fixed 
in
version 2.3.8-2+etch1.

For the testing distribution (lenny), this problem has been fixed 
in
version 2.5.2-2lenny1.

For the unstable distribution (sid), this problem has been fixed
in version 2.5.4-1.

Agosto 19
Búsqueda de información acerca del Village Project 
http://siteresources.worldbank.org/INTEMPOWERMENT/Resources/14654_MSSRF-web.pdf

http://www.economist.com/world/asia/displaystory.cfm?story_id=11090559

Agosto 22
PHP4 will no longer be available for *new* domains starting 08/26/08

That’s right, since PHP4 has been officially discontinued, we’re taking our first steps in discontinuing our own support. If you currently have any domains using PHP4 (in either mod_php or CGI mode), they’ll continue to work for the foreseeable future. The only change occurring is that you will no longer be able to set up a new domain as PHP4 or convert an existing PHP5 domain to use PHP4. The few remaining one-click packages we had that required PHP4 are being upgraded simultaneously so that we’ll have no one-click packages that won’t work with new domains. If you’re in a position to do so, this might be a good time to start working on getting your websites working with PHP5 so that the later transition is easier. In most cases, the switch should be trivial.

Agosto 24
1pm (NYT) maxcom tiene una caída. Cero conectividad con la 
UPN (posteriormente, en septiembre sabremos que los administrativos cortaron el suministro eléctrico).

Agosto 26,27,28,29

Revisión de los proveedores existentes de posting para VPS, envío de cotizaciones para servicios.

Septiembre 1

Ubuntu 7.04
Moodle DVD
lampp 1.3.3.b
moodle 1.8.2 (2007021520)
mediawiki 1.11.0 

Moodle xubuntu 8.04 (550MB)
lampp 1.3.7
moodle 1.8.6 (11/7/2008) 
mediawiki 1.13.0 (summer 2008)

Primero actualizar los paquetes a su versión estable, ahora editar el xubuntu, probemos usando el mas nuevo lampp, 

http://blografia.net/vicm3/index.php?blog/show/Moodledvd-Persistente.html

MoodleCD Persistente

Es curioso como muy buenas ideas a veces terminan implementadas de maneras no tan buenas, en algún momento de la maestría, un compañero que estaba por presentar su defensa de tesis quería mostrar el sitio que había estado trabajado en claroline a sus jurados, originalmente pensé en generar un mirror estático del sitio, pero después me explico “lo que necesito es una copia local por si fallase la red”, vaya que quería estar preparado, puesto que yo realmente dudaba que fallara la red de la universidad dentro de la propia universidad, pero tenia razón, nunca está de más tener un plan b (que por cierto resulto ser muy acertado ya que en el aula donde se llevo a cabo el examen profesional, no hay puntos de red y no llega la red inalámbrica).

En esa ocasión utilice XAMPP para Windows donde finalmente coloque una copia de la base de datos y de la instalación de claroline… (en 2006 me parece), el examen salio muy bien y mi colega obtuvo su mención honorífica y todo.

Al principio de este año una compañera me comento de un proyecto SEP / UPN de hacer un DVD de Moodle que permitiera trabajar con moodle y mediawiki sin tener que instalarlos en la computadora de uno, lo cual me pareció una idea estupenda, cuanto mas que Max de Mendizabal estaba involucrado, total que también hubo una coyuntura ahí y una decisión bastante lejana empujo a varios profesores, que aun no estaban convencidos de usar moodle a por lo menos probar el dvd persistente, como participante en algunos de los proyectos involucrados y como docente, me intereso y a mis manos termino llegando ese dvd mucho antes de la presentación oficial http://cosnet.sep.gob.mx/home_livedvd.php .

Posteriormente un compañero de generación, de la maestría que también esta trabajando con moodle como una propuesta de innovación y aun cuando se le ofreció espacio en nuestra maquina en la universidad, pues el quería trabajar algo en su maquina en casa sin tener que utilizar Internet, le compartí una copia del dvd y me comento entre otras cosas que era una lata el tener que reiniciar la maquina para probar el dvd, sobre todo cuando uno solo tiene una PC. Por lo que me puse a investigar que hacia el dvd, revise un poco la estructura y me encontré con que tal cual lo aparentaba era un Ubuntu 7.04 + lampp (crei en ese momento, hoy se que fue su sucesor xampp, pero que conserva en la versión de linux el nombre original) lo que permitía el montaje, en ese momento tan solo me intereso el htdocs y un dump de la base de datos, sobre todo por que cuando recibí el disco me di cuenta que no estaba utilizado todo el DVD, grande fue mi sorpresa al ver que el disco ocupaba algo mas de 800MB pero ni cercano los 4.7GB que provee un DVD, total que mi idea para hacer más sencillo descargar esto, fue usar xampplite para win y ahí meter todo el material desarrollado por SEP/UPN, funciono y todo esto quedo como en 80MB, mas un par de flashes de cómo instalarlo y correrlo, después de hacer esto, me olvide del asunto y hasta hace poco tuve la peregrina idea de borrar los archivos por que no pensé volver a utilizarlos.

En Julio en la cofradía se hizo el anuncio oficial del dvd donde también añadí mi comentario sobre el Hack que había hecho para reducir el tamaño del archivo y como no hubo mayor seguimiento me olvide del asunto y como mencione arriba, borre mis fuentes por que no pensé volver a usarlo…

Hace realmente poco me contacto un participante de una ONG del interior de la republica, con la novedad de que el dvd no es muy explicito en qué debe hacer uno, algunos problemas con los que nos hemos encontrado los que ya probamos el cd, pero peor aún me comentan qué cuentan con maquinas para utilizarlo, pero no cuentan con lector de dvd, esto me hizo repensar en lo que estuve haciendo tiempo atrás, yo también había considerado que el asunto de que fuera un DVD y no un CD me parecía un poco demasiado, así que me puse a investigar y bueno tengo por idea, agarrar xubuntu (que no incluye muchas cosas de gnome, pero que ocupa unos 500MB) y que creo firmemente podrá albergar todo el contenido del DVD persistente en un CD, aun cuando estoy pensando en que no seria tan mala idea poner a disposición de quien lo desee la versión para win que construí, bueno que tendría que volver a construir.

Bien, (sábado 10pm) por donde empezar…bueno ¿se podrá hacer un custom livecd de ubuntu?, pero claro que si, https://help.ubuntu.com/community/LiveCDCustomization entonces, listo pues agarremos el livecd que existe y veamos que podemos quitar, leyendo ahí, dice que uno puede extraer la imagen existente y usar apt-get en un chroot, así que lo primero que se me ocurrió, fue hacer el chroot e intentar hacer aptitude purge openoffice.org o purge evolution y me encontré con un montón de problemas de dependencias, ya que todos estos paquetes en gran medida están integrados en el ubuntu-desktop, en eso estaba cuando se me ocurrió hacer cat /etc/issue y me di cuenta que la versión de ubuntu era la 7.04 (cuyo soporte termina en octubre de este año), así que considerándolo un poco pensé que no era mala idea utilizar el 8.04 que más o menos es reciente (lanzado en abril de este año y tiene soporte hasta 2011)… entre esto y revisar qué versión de xampp era la que habían usado me dieron como las 2 am del domingo, bueno tiempo de dejar esto por la paz.

Hoy estuve platicando un poco con varios amigos y parece ser que en realidad a más de uno le interesa la idea de que esto este en un CD, se me ocurrió que podría añadir al CD el propio taller que utilizo para capacitar en moodle, el cual aún no esta lo organizado y estructurado que quisiera, pero que no seria una mala idea, con lo cual me surgió otra duda, ¿Qué licenciamiento tendrá el material de la SEP/UPN? Digo el software con lo que se creo el DVD es GPL ¿pero y el material de SEP/UPN? Espero que también sea reutilizable.

En todo caso el día de hoy embarque en hacer lo siguiente (11am) pasar de Ubuntu 7.0.4 con xampp 1.3.3b, moodle 1.8.2 y mediawiki 1.11.0 a Xubuntu 8.0.4, moodle 1.8.6 y mediawiki 1.13.0. Aprovechando que ya tenia montado descomprimido el iso original hice chroot ahí y comencé por actualizar moodle, qué es el que conozco es más sencillo de actualizar, baje el paquete lo copie a su lugar corrí el upgrade y listo, mas o menos mismo caso con mediawiki (algunos extras que están en el directorio maintenance/, update.php y refresLinks.php) y listo, pasemos a la montar el iso de xubuntu 8.0.4 (en especial por que no incluye OpenOffice.org ni Evolution) bueno, seguimos las instrucciones, instalar lo que aun no tengo en mi instalación (Deian unstable, Lenny por cierto), montamos el iso, descomprimimos, copiamos, extraemos el squashfs, listo ahora a copiar la versión original de xampp (previo realizado el dump de las dbs por si las moscas), listo xampp en su lugar, ahora a actualizarlo, en la pagina vienen scripts para actualizar de 1.6.6 a 1.6.7, lastima que este sea 1.6.3b, así que a decidir si intentar actualizar o hacer lo posible por recrear la estructura del DVD original (opto por lo segundo), así que instalo la versión mas nueva de xampp y me creo los usuarios y dbs que veo en la versión original, pruebo en el chroot que funcione esto, parece que todo bien, ah, ¿ya es hora de comer?, (2:30pm) bueno me baño y después de comer le sigo.

A eso de las 5 pm, reanudo con esto, a copiar la estructura y scripts que añadieron en rc2.d y en rc0.d, bueno mas bien añadir los scripts en /etc/init.d y añadir las ligas simbólicas para que se ejecuten cuando deben, bueno a hacer limpieza según las instrucciones que estoy siguiendo y ¿Cómo harán para lanzar firefox con los dos tabs con las paginas del moodle y mediawiki? Mhh… entro en irc.freenode.net y me uno a #ubuntu, después de leer los guidelines, el faq y la guía de irc, pregunto en el canal, “Hi, I’m customizing a ubuntu livecd, I been Reading https://help.ubuntu.com/community/LiveCDCustomization but can’t find how to launch FF after the GUI loading, anyone had any clue? Or doc to read?” Aun cuando un par de personas les intereso mi pregunta, me recomendaron lo obvio modificar .mozilla o abrir firefox ir a preferencias y cosas similar (no falto el que me dijera que leyera el URL que coloque en mi pregunta), el problema es que según veo en el livecd no existe nada en /home o /root todo se genera a partir de los scripts… bueno por ahí Gunnar me comento que pudiera ser tan fácil como mandar iceweasel (firefox) http://localhost/moodle http://localhost/mediawiki que en efecto en su maquina abría FF con dos tabs, ¿pero donde? Haciendo grep “localhost/moodle” en /etc no regreso ningún resultado, sin embargo hacerlo en /usr/share si reporto un par de resultados en efecto en /usr/share/gnome/autostart/firefox.desktop:Exec=/usr/lib/firefox http://localhost/moodle http://localhost/mediawiki listo, ¿ahora en xfce4 donde se encuentra algo similar?, en el Wiki de Gentoo encontré algunas sugerencias, pero al parecer no me funcionaron, de todas formas las intente, siguiendo las instrucciones cree mi nuevo squashfs, regenere los md5sums, le puse nuevo nombre al release y finalmente cree mi iso, la primera vez por alguna razón que aún no entiendo, no corrió, de hecho me marco el error mas común en la página que estaba siguiendo, que aventaba a busybox, por lo mismo y que mi maquina no cuenta con kvm (o hardware para virtualizacion) decidí probar con un CD regrabable y correrlo después de suspender a disco. Mismo resultado, deje esto por un rato le di una vuelta a mis feeds de noticias y de regreso, pues que otra que hacer de nuevo el proceso de crear el squashfs, regenerar los md5sums, crear el iso revisando que no se me hubiera pasado ningún warning o error, y no, curiosamente ninguno grave, para las 9pm tenia ya la imagen xubuntu-8.0.4.1-desktop-i386-moodlecd0.1.iso. qué después de probarlo 2 veces con qemu, creo que esta listo para que lo descarguen y lo prueben…

Son 627MB yo sugiero que primero lo prueben en un regrabable, por cierto nunca logre que xfce4 abriera firefox como en el DVD original (con gnome) así que lo primero que alguien que quisiera utilizarlo necesita, es abrir firefox, y en un nuevo tab o en el de bienvenido a ubuntu escribir http://localhost/moodle y en otro tab http://localhost/mediawiki

En la versión actual, no incluyo aún mi cursillo/taller puesto que le falta mucho material de apoyo y organizarlo (esta muy bien para ejercicio presencial, pero como curso stand alone, le falta), espero que en cuanto encuentre donde tengo mi copia local se lo pueda añadir, como dije aún cuando yo lo he probado ya un poco, el cd con mucho puede tener errores, he verificado hasta donde he podido, sin embargo es probable que algo se me haya pasado, tómenlo como lo que es, un hack interesante para hacer más portable este producto para educadores. Por cierto una de las dudas recurrentes es cual es el usuario y contraseña para el único curso que viene montado en moodle bueno aún cuando lo puedo poner aquí, lo mas divertido del asunto es que viene en el curso en si, el cual en ningún momento da ninguna pista de que, admite acceso de invitado (he de decir que la primera vez que use el DVD me fui directo a mysql a ver como se llamaba el usuario y a añadir mi contraseña, pero tal cual ,eso pasa por no leer la documentación), bueno, que me queda que decir, que mañana, espero que haya terminado de subir el archivo y pueda colocar aquí la url para descargar el iso.

Ligas de interés

http://ociologia.org/moodlecd/ Liga para descargar el resultado.

https://help.ubuntu.com/community/LiveCDCustomization Ubuntu LiveCD customization.

http://gentoo-wiki.com/HOWTO_Autostart_Programs#Xfce4

http://www.xubuntu.org/

http://uck.sourceforge.net/ un generador de livecds para ubuntu automagico

http://cosnet.sep.gob.mx/home_livedvd.php Moodle DVD Persistente

http://cofradia.org/modules.php?name=News&file=article&sid=21170 El anuncio en cofradia

It’s just the begining…

Actualización de todos los mediawikis en DH a 1.13.0

Septiembre 2

Debian update on DH from Sarge to Etch

We are currently in the process of upgrading our servers to the newest version of Debian, etch. If you have custom php compiled against the old 32bit libraries your site will no longer function correctly
Septiembre 5

Septiembre 5 

Regresa la página de la upn, no asi la red de Ajusco

vicm3@avalon:~$ curl -I upn.mx
HTTP/1.1 200 OK
Date: Fri, 05 Sep 2008 00:56:59 GMT
Server: Apache/2.2.3 (CentOS)
Last-Modified: Wed, 03 Sep 2008 20:54:20 GMT
ETag: "1a08471-2e5b-a545700"
Accept-Ranges: bytes
Content-Length: 11867
Connection: close
Content-Type: text/html; charset=UTF-8

vicm3@avalon:~$ host -v upn.mx
Query about upn.mx for record types A
Trying upn.mx ...
Query done, 1 answer, status: no error
The following answer is not authoritative:
upn.mx                  85712   IN      A       148.208.203.150
Authority information:
upn.mx                  85712   IN      NS      dns.ajusco.upn.mx
Additional information:
dns.ajusco.upn.mx       85712   IN      A       148.208.203.150

Septiembre 16

Debian Security Advisory DSA-1638-1                  
security@debian.org
http://www.debian.org/security/                           Florian 
Weimer

September 16, 2008                    
http://www.debian.org/security/faq
- ------------------------------------------------------------------------

Package        : openssh
Vulnerability  : remote
Problem type   : unsafe signal handler
Debian-specific: no
CVE Id(s)      : CVE-2008-4109
Debian Bug     : 498678

It has been discovered that the signal handler implementing 
the login
timeout in Debian's version of the OpenSSH server uses 
functions which
are not async-signal-safe, leading to a denial of service
vulnerability (CVE-2008-4109).

Actualización en todas nuestras maquinas.

DH
Rails 2.1.1 is coming!

It seems like just yesterday we updated to 2.0.0, and of course there’s a new Rails already! I’m starting to build packages for 2.1.1 today, and I’ll then slowly test and roll the new version out over the next week. So, once again, freeze your rails if you haven’t already.

Freezing is easy! You need to ssh into your account, cd over to project, then run: rake rails:freeze:gems - and that’s it!

Septiembre 24
Restauro el password de administrador de la galería de intel puesto que no esta funcionando, no nos queda claro si fue cambiado por alguno de los usuarios o se corrompió el archive de usuarios (aunque el archive se encuentra bien)

Agosto – Septiembre
Revisando las listas de icme, webicme y talleres, borrando el spam que llega a las 3 del orden de 1 mensaje diario que queda en la moderación.