02 diciembre 2009

La posible migración a SMF de elhacker.net

Elhacker.net mantiene un foro del que en alguna otra ocasión ya hemos hablado (recopilación de foros de seguridad).

Según comentan en un correo publicado en Full-Disclosure, están pensando migrar la plataforma a otra versión. En concreto SMF2 , pero antes de llevar a cabo este cambio han hecho un profundo análisis de seguridad de su código fuente. Del que han obtenido y reportando más de 40 vulnerabilidades de distintas criticidades.

Entre las más importantes se encuentran ejecución remota de código PHP (para administradores del foro), elevación de privilegios o robo de sesiones.

Del excelente trabajo de los integrantes de SimpleAudit, que comenzó a mediados de Octubre, miles de usuarios de este software se verán beneficiados. Además, todo bajo una metodología de publicación responsable, puesto que ya existe una nueva versión de este software que soluciona los problemas encontrados.

Que una organización sin recursos económicos haga este tipo de actividades únicamente por su propia seguridad, además de ser ejemplar, le hace a uno replantearse como es posible que grandes compañías aún cometan los mismos errores una y otra vez y no ejecuten ni una revisión rápida de sus aplicaciones antes de su salida a producción (ya sea de código fuente o en caja negra)

Desde SbD... ¡Enhorabuena chicos!

9 comments :

Anónimo dijo...

Ya tienen SMF, pero ahora pondrán la SMF 2.0 supongo.

Antonio Sánchez dijo...

bueno, como ya han comentado, en el foro ya usamos SMF, pero una versión anterior, bastante parcheada por cierto

tremendo trabajo de los chicos de web vulns.,que hace enorgullecernos a todos los que formamos parte de la comunidad de elhacker.net

kamsky

Alejandro Ramos dijo...

Buenas!!

Gracias por el apunte, ya lo he cambiado :)

Un abrazo

ANELKAOS dijo...

Gracias a ti por el artículo Alex.

Un saludo :)

lost-perdidos dijo...

Contando con su administrador, de esa comunidad se sacan expertos con los dedos de la mano. Y desde luego, a un verdadero profesional no lo encuentras ahí.

Wilfred dijo...

flipe muxo con el backdoor descubierto,gran trabajo!

Anónimo dijo...

Totalmente de acuerdo con lost-perdidos.

Anónimo dijo...

Contando con su administrador, de esa comunidad se sacan expertos con los dedos de la mano. Y desde luego, a un verdadero profesional no lo encuentras ahí.

Los Perdidos: La envidia es mejor despertarla que sentirla.

Unos verdaderos cracks,si se pone a buscar gente que sabe, alli hay un monton. Un saludo para los del foro.

Aleks.

silverhack dijo...

#Señores, chapó por el artículo y la mención. Muchas gracias! ;-)