Después de varios días sin acceso a internet (no tengo internet en casa ^^’), leyendo la ingente cantidad de correo del inbox, veo distintas cosas. El viernes pasado notifiqué a Microsoft sobre un bug importante de seguridad en uno de sus productos Open Source estrella: el MyWebPagesStarterKit. Un CMS muy completo y fácil de utilizar que permite montar tu propia web de manera fácil.
Pues bien, actualmente ya se encuentra resuelto con un parche disponible en su web: http://www.codeplex.com/MyWebPagesStarterKit/ y mencionado en la página principal.
Aquí una descripción rápida del bug:
http://www.codeplex.com/MyWebPagesStarterKit/WorkItem/View.aspx?WorkItemId=12469
Aquí con más detalle:
http://www.codeplex.com/MyWebPagesStarterKit/Wiki/View.aspx?title=August%2027th%202007%20%20%20%20%20Security%20flaw%20in%20My%20Web%20Page%20Starter%20Kit&referringTitle=Home
Sin embargo, el detalle que más agradezco es que me hayan incluido en el Hall of Fame:
http://www.codeplex.com/MyWebPagesStarterKit/Wiki/View.aspx?title=Hall%20of%20fame
y en la manera en la que me citan:
* Rafa Vargas his blog for finding the Security Flaw and for escalating the issue in such a professional way!
Finalmente, un copypaste de la noticia interna:
De: David Cervigon Luna
Enviado el: martes, 28 de agosto de 2007 0:41
Para: Spain DPE Team
CC: José María Alonso Cebrián
Asunto: Estudiante del Club .NET de Sevilla descubre una grave vulnerabilidad en My Web Pages Starter KitHola
Rafael Vargas, Student Partner del .NET Club de Sevilla, descubrió la semana pasada un problema de seguridad bastante grave en este proyecto Open Source albergado en Codeplex y patrocinado por Microsoft EMEA. Este Starter Kit está dirigido a entusiastas que se quieran crear un Sitio Web personal, y en su parte de gestión del contenido es donde reside el problema. En consecuencia, cualquier sitio creado con él es vulnerable.
Rafael se lo paso a Chema pidiéndole consejo de qué hacer con su descubrimiento y Chema nos lo paso a nosotros para que lo moviéramos internamente de manera urgente. Tras localizar a los owners del proyecto, se ha desarrollado un fix, se ha publicado un anuncio de la vulnerabilidad en Codeplex y se ha reconocido a Rafael en el “Hall of Fame” del Kit:
- La notificación:
http://www.codeplex.com/MyWebPagesStarterKit/Wiki/View.aspx?title=August%2027th%202007%20%20%20%20%20Security%20flaw%20in%20My%20Web%20Page%20Starter%20Kit
- El bugfix:
http://www.codeplex.com/MyWebPagesStarterKit/WorkItem/List.aspx
- El reconocimiento:
http://www.codeplex.com/MyWebPagesStarterKit/Wiki/View.aspx?title=Hall%20of%20fame
Quién lo diría… yo colaborando con el Open Source :)
P.S: Actualmente, voy a enviar varias correcciones para mejorar este elegante StarterKit.
Felicidades precioso!!