viernes, 17 de octubre de 2008

I have the reason (Artica case)

Esta entrada en el blog tiene dos motivos:

1. Recordarme que aveces me da por alegar por pura terquedad.

2. Que cuando se reporta un bug hay de respuestas a respuestas, esta me parecio muy divertida.


El caso es que en la empresa estamos trabajando con una solución llamada artica, la cúal entre muchas cosas integra un sistema de correo con todos los juguetes.

Bueno, el caso es que me puse a mirar un poco los archivos del software y me encontre con uno muy especial llamado: upload.php.

Cuando lo abrí me di cuenta que precisamente era eso, un uploader, lo malo del asunto es que permitia subir archivos a la plataforma y lo segundo mas malo es que en ningun lado se hablaba de el. Como un adulto responsable le escribí al desarrollador principal de artica y para no postear los emails, resumo lo sucedido:

yo:
Que tal dev, me parece que este archivo no deberia estar aqui, se les olvido quitarlo o es un bug?, me podrias confirmar? (siempre pido una confirmación para no sentirme tan loco).

dev:
Querido amigo, te cuento que eso es un archivo viejo que usaba para hacer pruebas, no te preocupes borralo y todo estará bien.

yo:
Hola!, si, yo se que si lo elimino todo estará bien, pero que pasa con las otras personas que no lo han visto?, existe algun archivo README, INSTALL donde lo mencionen?

dev:
NO, no se preocupe, eso ya desaparecio en versiones anteriores, relajese, tomese un tinto, no es para tanto.

yo:
no, no, no, no me entiendes, quiero una respuesta clara, quiero saber que es lo que pasa, acabo de bajar la última versión de artica (artica-postfix-1.2.101718.deb) para debian y el archivo sigue allí. Entonces eso significa que las personas que usen artica sobre debian son vulnerables?, existe algun archivo donde se mencione esto?, deberia haber una advertencia.

dev: (un poco mas alterado)
Que no ohme, seguro cuando hiciste una actualización el archivo se mantuvo ahí y por eso crees que lo estas instalando. Solo borralo y olvida el asunto.

yo:
Hola!, ya realize una instalación desde cero y el archivo apareció :)
nando:/home/nando/Desktop# ls -la /usr/share/artica-postfix/upload.php
-rw-r--r-- 1 root root 713 oct 17 11:13 /usr/share/artica-postfix/upload.php
nando:/home/nando/Desktop#

dev: ...

Como el asunto no podia quedar ahí entre al foro público de artica y publique una entrada, la cual el mismo desarrollador contesto e inmediatamente cerro el topic.
Para mi ya era el colmo, no me daba explicaciones y se hacia el loco con el tema.

Entonces abrí un segundo tema y le dije que pilas, que las cosas no eran así y realmente las comunidades de software libre no funcionan así. Ocultar las cosas no es una buena politica.

El desarrollador muy amablemente devolvio a la vida mi topic y me escribio un último correo diciendome: "Yes you right my script do incremental copies when creating deb packages so it still exists. It is fixed for next version...."

Mi respuesta fue:
...


Y ahi termina la historia.

Seguramente NO se lanzará un advisory acerca de esto y seguramente algunas cuantas maquinas corriendo artica serán atacadas, pero cumpli con hacer mi parte.

Aveces la neglicencia o el simple hecho de no reconocer que se comete un error, hacen que los procesos en comunidad no evolucionen de la mejor forma. Si el desarrollador se hubiera portado mejor, seguro me hubiera motivado a entregarle otros bugs mas interesantes, pero por ahora dejemoslo ahí.

Byte.

5 comentarios:

Anónimo dijo...

Your article is interesting about try to found bugs and help products to be more secure.
But your behavior is not correct... Imaging the work to provide this product for free of charge and Open Source (3 years of nights and week-end).
The only result and the conclusion of this work is your post (many thanks) !
I don't really understand your language but the context of your post and your language syntax is not really gentleman...

For your case, i have directly hard coded to fix it, if the daemon found this file it will be killed automatically and entry in the syslog is written and a link of your post is seen...

see http://www.artica.fr/forum/viewtopic.php?f=11&t=665

best regards
The Artica-postfix developper.

nonroot (c) 2008 dijo...

Friend, take it easy,
really I like your software (a bit obfuscate, but it works),
I have nothing against you or against your product, I recognize that this is a great effort and I have seen many, many lines of code into the software.

Maybe what I was commenting was about your first attitude.
The answer to the style I don´t care much that this file there.

I just worry a bit for people using your software and that's why I spoke to you about the issue.
Sometimes I do this with the sole intention to help correct things, but your initial attitude I do not really think the most appropriate and that's why I decided to make this post on the blog.

If something bothered you, then I apologize and I hope that we clarifying the misunderstanding.

Cheers

ZettaByte dijo...

Este tipo de fallas suelen verse no solo en artica,tambien se ven en otros software open source. Precisamente esta es una de las razones por las que actualmente muchas empresas grandes o medianas temen vincularse con herramientas libres.

Me podrias decir a grandes rasgos como te va con Artica ?

Gracias

Anónimo dijo...

La única diferencia es que el software de pago no tienen visible el código fuente. No son las mismas fallas, pero sabemos que no
Artica developper

Kmilo dijo...

Is hard for a developer accept to have a bug, more if the bug is a security vulnerability.

As a dev I think we should do careful checking when someone send us a bug, and work with that person.

Entradas populares