ALERTA: Inyección de código shell en Novell Identity Manager 3.0.x

Comenta Ropero (hello :P) que Novell Identity Manager 3.0.x sufre de un notorio problema de seguridad.

novell

Si bien es un producto bastante alejado del empleo doméstico, me consta que algunos lectores del blog tienen a su cargo este popular gestor de identidades en sus entornos corporativos, motivo por el cual, me hago eco de la alerta.

La alerta original es de hace una semana, pero no ha terminado de trascender hasta más o menos la jornada de ayer, y es que los circuitos de información en productos corporativos van como las cosas de palacio: despacio :)

Novell Identity Manager es un excelente gestor de identidades corporativas para sistemas Novell Linux. La principal ventaja del producto es que automatiza el ciclo de vida completo de un usuario corporativo. Permite asignaciones iniciales, cambios, propagación de las indentidades hacia el espacio de aplicaciones, sincronización de múltiples claves en una única en sistemas Single Sign-On, así como la definición y aplicación de políticas de creación, conservación y cancelación de contraseñas.

El problema radica en un script llamado ‘idmlib.sh’, que no valida adecuadamente algunos valores suministrados por el usuario. Esto puede ser aprovechado para la inyección de comandos shell maliciosos, que podrían, siempre en entornos de red local, la ejecución de código arbitrario y la elevación de privilegios, siendo posible ganar root en la máquina. Para actualizar, hay que tirar de los parches oficiales, disponibles en el servicio de soporte.

La existencia de gestión de identidades es requisito en muchas especificaciones, por ejemplo, Sarbanes Oxley, así como los apartados correspondientes de otras regulaciones que impliquen el control y la protección de datos personales. Y es que este producto tiene como corazón lo que se llama Policy Builder, que permite la definición de políticas, filtros, definir las políticas vía Designer y vía iManager, aprovisionamiento de identidades, definición de políticas vía plantillas XSLT y una utilísima funcionalidad que se llama Schema Mapping, mediante la cual se pueden reducir las políticas a esquemas que sirven para interconectar el espacio de nombres de las aplicaciones y módulo blindado de identidades. Eso hace fácilmente reproducibles y propagables las necesidades de gestión de identidad en entornos multiaplicación (los habituales en grandes corporaciones). En resumen, una joya :)

Es muy frecuente que Novell Identity Manager opere como backend o complemento del servicio de directorio de la compañía. Un ejemplo de estos macrodespliegues puede ser el que se realizó en el Aeropuerto de Schiphol de Amsterdam, que gestiona con este producto 2500 identidades en un único punto de control, logrando una reducción del tiempo de administración del 25% respecto a la solución anterior. Este despliegue siempre trae cola en los versus entre soluciones Linux y Microsoft, sobre todo después de que el jefe sistemas del aeropuerto, Onno Hagers, asegurase que We looked at Microsoft Active Directory, but found that Novell eDirectory was superior technology :)

Saludos a todos.

Descubriendo retro en una llave USB

En el argot musical, se llama retro (y me circunscribo a la electrónica) a aquella música que no es de actualidad, y que por tanto, tiene cierta antigüedad.

En electrónica hay retro desde prácticamente los albores de los 70, con Brian Eno a la cabeza del movimiento ambient, hasta retro reciente, ya del siglo XXI. De todos modos el grueso del movimiento retro pertenece a la década de los 90, que es donde las tendencias de la electrónica se diversificaron y se hicieron, sin llegar a ser música comercial, música de culto y de minorías de suficiente masa crítica para alimentar el movimiento.

Después de toda esta parrafada, comentaros que hoy he dado con una llave USB que creía perdida, y sorpresa, contenía una selección de temas antiguos que procedo a compartir con vosotros. El orden no implica importancia, los transcribo según los veo en la llave ;)

La llave contiene estos diez temas:

  1. The Art of Noise – Moments of Love (YouTube)
  2. Celvin Rotane – I Believe (YouTube, ojo, no es la versión original, es la del 2002)
  3. Commander Tom – Are Am Eye (el piano me sigue poniendo la piel de gallina, tengo el vinilo original publicado por Noom Records en 1995)
  4. Dj Shadow – Midnight in a Perfect World (YouTube). Tremendo. La versión original, el remix de Portishead me supo siempre a poco.
  5. Friends, Lovers & Family – Diamond Lils. Pagaría por tener el vinilo original de la Rising High. La única copia de ese vinilo en mi radio de acción la tiene mi amigo Jordi.
  6. Hole in One – X-Paradise. 1992, memorable.
  7. Hyper Pearl – Can You Feel The Pain? – Otro piano memorable.
  8. Orbital – Satan (YouTube) – Vaya directo.
  9. The Drill – The Drill (YouTube) – El menos retro de todos, quizás ni sea retro, pues es del 2005, pero ahí estaba. Electrohouse del bueno. El vídeo tiene su miga, he visto pocos así de raros :P
  10. True Faith feat. The Pinup Girls – Take me away – Un clasicazo. Quien diría que se trata de Jeff Mills :)

Qué gratos recuerdos :)