Email de Ricardo Galli

Por ediaz el 4 de Marzo 2006 12:14 PM | Enlace permanente | Comentarios (4) | TrackBacks (3)

Me ha llegado este email de Ricardo Galli.
Juzguen ustedes.

-----Mensaje original-----
De: Ricardo Galli [-- borrado --]
Enviado el: Saturday, March 04, 2006 10:16 AM
Para: -- borrado --
Asunto: Problemas de seguridad en Blogmemes

Hola Eduardo,
veo que en blogmemes cada vez dedican palabras más "agradables" contra mí. En especial con el tema del ataque al menéame, donde no se han cortado un pelo.

Pues bien, perdí 15 minutos para ver el código del Blogmemes (versión
0.4.2.21) y me encontré con problemas y bugs de seguridad muy graves (muchos más de los que tenía el menéame). Sobre todo de inyección de SQL por la falta de verificación de los variables del GET o POST.

Por ejemplo en profile_edit.php
if ($bm_users->update_profile($_POST))
que llama a:
function update_profile($data)
{
$sql = ' update users set ';
$sql .= ' email = \''.$data['email'].'\',';
$sql .= ' fullname= \''.$data['fullname'].'\',';
$sql .= ' website = \''.$data['website'].'\',';
$sql .= ' blog = \''.$data['blog'].'\' ';
$sql .= ' where ID = '.$data['user_id'];
$this->db->execute($sql);

o en memes.php
function do_login($user, $pass)
{
$user = $this->db->fetch_object("select ID, username, password, email,join_date,admin,website,blog,fullname from users where
lower(username)='".strtolower($user)."'")

Así está plagado de este tipo de errores, en ningún momento sanitizas o controlas esas variables y luego las usas directamente para crear el sql.
Podría haberte modificado la base de datos, o cambiar las claves con métodos de inyección muchos más sencillos de los que han usado para el menéame (ni siquiera hace falta que los sepa, me basta con "copiar" los que han usado contra el menéame).

Además tengo la impresión que tienes que tener el "register global variables"
en el php del servidor. Espero que no sea así, porque sino el problema es aún más grave.

Supongo que ya te servirá de ejemplo para darte cuenta de los problemas.
Aunque estoy muy mosqueado por cómo me han tratado en Blogmemes sin que venga a cuento, no publicaré estos problemas ni este mensaje. Al menos no por ahora, pero es urgente que lo arregles, si han probado con el Menéame, en poco tiempo lo harán con Blogmemes, hay gente cabreada de ambos "lados".

Pero espero que lo soluciones y pongas un artículo en blogmemes de los problemas resueltos y quién y cómo te ha informado.

Si necesitas más ayuda para solucinarlos, encantado (aunque tendría que estudiarme el Smarty, que no lo conozco), pero antes espero ver una respuesta pública de "desagravio", que las contrarias ya hubo demasiadas.

Un abrazo.

--
ricardo galli GPG id C8114D34
http://mnm.uib.es/gallir/

3 TrackBacks

Abajo se encuentran listados enlaces a este artículo: Email de Ricardo Galli.

URL de TrackBack URL para esta entrada: http://www.lnds.net/cgi-bin/mt-tb.cgi/667

» Email de Ricardo Galli from blogmemes.com

Al parecer Ricardo Galli cree que tengo una campa�a contra el. O que en blogmemes nos dedicamos a denostarlo. Juzguen por el email que me mand�. El tono no me gusta, y por eso lo hago p�blico. Si dejan de ver este sitio, pueden preguntarse con jus... Lee Más

» La Seguridad de BlogMemes from La Naturaleza del Software

Tras leer este artículo entendí el origen del email de Ricardo Galli. Como no leo su blog muy a menudo, no tenía idea. La verdad es que ya he resuelto el problema, y quizás quede alguna pifia por ahí, pero... Lee Más

» Respuesta a Benjamí. from La Naturaleza del Software

Benjamí, socio y amigo de Ricardo Galli me ha puesto un comentario. Le respondo en este post. Yo no he atacado a meneame. Hay 2 post enque comenté sobre meneme: http://www.lnds.net/2006/02/no_pesquen.html y http://www.lnds.net/2006/02/blogmemes_y_men... Lee Más

4 Comentarios

ricardo galli dice:

Estás mal tío.

Después de aguantar sin decir _nada_ ni responder a todos los insultos y difamaciones contra mí que han salido en tu blog y en blogmemes. Después de relicenciarte código del menéame que has usado para que no violes la Affero, todo eso porque me parece interesante el proyecto, me parecías un tío interesante y pensaba que lo merecías y que no tenía sentido entrar en batallitas.

Aún así, aunque venía _muy_ cabreado y aguantándome las ganas, te envío un mail privado con los problemas que tienes en el código, porque me interesa de verdad que lo arreglas --sino por que coño te iba a escribir--, y lo hago de la forma correcta y ética ¿y respondes de esta forma? ¿no sabes distinguir cuando una persona intenta de verdad tender puentes y bajar el tono además de ponerte sobre aviso?

No, no sólo que ni respondes a mi mensaje, lo publicas en tu blog e inmediatamente en Blogmemes y además haciéndote la víctima como si a mi me interesara atacar a blogmemes.

¿Te dedicarás a eso? ¿A mantener guerras inútiles contra mí y menéame? ¿Para atraer visitas?

No entiendo nada, allá tú. Te he avisado de los problemas de forma privada y tú los publicas...

Creo que he actuado de forma correcta. He detectado problemas muy graves y en vez de descojonarme de risa en mi blog después de lo que habéis dicho de mí, te lo informo personalmente, en un mail privado. Y mira...

No entiendo nada. Ni siquiera has sabido respetar un mensaje explícitamente personal.

Bien. Si Blogmemes se dedicará a esto, a favorecer los ataques personales contra otros, prefiero no tener ningún tipo de contacto.

Que tengas suerte.

4 de Marzo 2006 2:03 PM

Eduardo dice:

Hice publico el email porque en el hay una amenaza velada.

Segundo, ya no hay codigo tuyo en blogmemes.

Tercero, yo nunca te he atacado personalmente, y te pido que me demuestres donde lo he hecho.

Solo he comentado las cosas que no me gustaban de meneame, de hecho no me gustaba estar obligado a votar, y eso ya lo eliminaste.

Tampoco he creado polémica para aumentar las visitas a blogmemes como tu crees, de donde inventas esas cosas?

Estas algo paranoico Ricardo. Insisto, si a alguien no le gusta meneame, no lo visite, y lo mismo vale para blogmemes.

Tu planteas que estoy en guerra contigo, cuando nunca ha sido así. Hay gente que ha manifestado en Blogmemes, su descontento con algunas prácticas en meneame, y lo hacen a título personal.

Yo te he felicitado por el éxito de meneame. Y una vez te puse un comentario en tu blog y tu no lo publicaste.

Nadie está en guerra contigo, pero parece que tú sí, te peleas con todo el mundo.

Relájate más.

4 de Marzo 2006 2:15 PM

Benjamí dice:

Conozco a Ricardo, somos amigos socios en Menéame. No hay ninguna amenaza en su email ni quiere pelearse contigo. Al contrario, te está ayudando esperando que lo agradecieras y terminara lo que no le gusta, y por lo que se le ve enfadado.

Está enfadado porque tú apoyas las acusaciones a Menéame desde tus lugares, desde Blogmemes con tus comentarios hasta este blog.

Juegas a lenguaje políticamente correcto para decir las cosas, como si criticar con buenas palabras le quitase gravedad a la crítica.

¿Recuerdas tu post, que estuvo enlazado en portada de Blogmemes, donde todas las razones para usar Blogmemes eran acusaciones tuyas, directas, a Menéame? Lo borraste, parece --y si es que no, enlázalo que no lo encuentro.

Esto es lo que se desprende del tono de lo escrito. En mi caso es más fácil interpretar a Ricardo porque le conozco en persona. En tu caso me cuesta más porque no te conozco. Pero siempre es muy complicado saber interpretar los tonos de los mensajes:

http://www.wired.com/news/technology/0,70179-0.html

4 de Marzo 2006 2:43 PM

guido_cc dice:

Como era?

¿Ver la paja en el ojo ajeno y no ver el tronco en el propio?

Meneame tiene un bosque.

5 de Marzo 2006 11:26 AM