[U-co] [OT] Anuncio: JeguePanel 2.0 – Más potencia para su red

cablop cablop en gmail.com
Mar Nov 6 04:12:05 UTC 2007 

Mandales el mail a los desarrolladores de la herramienta para que se den
cuenta de la vulnerabilidad de la misma.

Eso es contribuir.

No lo hago yo, porque si me preguntan de esas cosas... no se como
responderles, jejejeje

*
Join the Facebook Official Firefox Community, be a Top Fox
[image: Firefox
2]<http://www.facebook.com/group.php?gid=2214598120&topfoxid=iRtcZ83ehydRmRwCEFZhZzw..&e=1>


more cablop?
www.cablop.net*


El día 5/11/07, Fernando Muñoz <munozferna en gmail.com> escribió:
>
> Saludos,
>
> Esta aplicacion es vulnerable a inyeccion de parametros a la funcion
> exec(), y al parecer ejecuta estos comandos siempre como root, o al
> menos en el server demo.  Se debe utilizar la funcion
> http://www.php.net/escapeshellarg para evitar estos problemas. Para
> ver a que me refiero, inicien sesion en la aplicacion :
>
> http://demo.jeguepanel.net:8080/ user: jegue pass: demo
>
> Luego en
> http://demo.jeguepanel.net:8080/jeguepanel/mail/domains/domains_add.php
> como dominio pongan  ;id;uname -a;cat /etc/passwd; y click en
> Adicionar.
>
> Podran ver en el resultado:
>
> uid=0(root) gid=0(root)
> Linux server.anahuac.biz 2.6.17-10-server #2 SMP Tue Dec 5 22:29:32
> UTC 2006 i686 GNU/Linux
> root:$1$gMFy9Okb$3.Rlscc8OM5j/k29lmPkp.:0:0:root:/root:/bin/bash
> daemon:*:1:1:daemon:/usr/sbin:/bin/sh
> bin:*:2:2:bin:/bin:/bin/sh
> sys:*:3:3:sys:/dev:/bin/sh
> sync:*:4:65534:sync:/bin:/bin/sync
>
> Esto podria permitir a cualquiera con acceso al panel, ejecutar
> comandos en el servidor. Otro detalle que note es en el archivo
> menu.php donde utilizan la variable inc_path en un include sin haberla
> definido, si el php del server esta configurado con register_globals
> on, y allow_url_fopen 1, permite ejecucion de codigo, sin necesidad de
> tener acceso al panel.
>
> http://demo.jeguepanel.net:8080/jeguepanel/mail/config/menu.php?inc_path=X
>
> On 11/5/07, Elkin Botero <ebotero en gmail.com> wrote:
> > Hola amigos, comparto el anuncio del lanzamiento de la version 2.0 de
> > JeguePanel, proyecto desarrollado por mi amigo Anahuac de Paula Gil de
> > Brasil.
> >
> > /JeguePanel llega a la versión 2.0 trayendo diversas opciones para
> > administración de redes Gnu/Linux y Windows, incluyendo soporte total
> > para ActiveDirectory y bases de datos MySQL y PostgreSQL./
> > "Organización" es el concepto que viabiliza la reducción de costos y
> > gastos en tecnología de la información. Y la administración eficiente de
> > servidores, usuarios, permisos y recursos es la base de la organización
> > de una red de computadoras de cualquier tamaño. Y esta es la función de
> > JeguePanel, una herramienta de administración de servidores y servicios,
> > orientada principalmente para la administración de recursos compartidos
> > con Samba y también correo electrónico.
> >
> > Después del éxito de la serie 1.x, JeguePanel llega ahora a la versión
> > 2.0 con varias novedades. Desaparece la obligatoriedad del uso de
> > OpenLDAP para almacenar los usuarios y sus informaciones, entrando en
> > escena una opción más: el uso de base de datos SQL. Esta opción es la
> > respuesta a los pedidos de los usuarios de JeguePanel que ya disponen de
> > información de sus usuarios en bases de datos y no desean migrarla para
> > otras opciones. A partir de esta versión es posible migrar los datos de
> > bases Access, SQL Server u Oracle para MySQL o PostgreSQL.
> >
> > Un nuevo soporte para Active Directory, permite el uso de la herramienta
> > en redes Windows configuradas con este servicio, logrando la total
> > integración de los usuarios y sus cuentas e informaciones adicionales.
> > Una opción excelente para empresas que poseen su base de usuarios ya
> > configuradas en Windows y que quieran tener un nuevo servidor de correo
> > electrónico robusto y potente.
> > Su interfaz, simple e intuitiva, facilita el mantenimiento de cualquier
> > número de usuarios y reduce el trabajo del administrador de redes que no
> > ya no requiere horas de configuración de replicaciones entre servidores
> > o intentando descubrir quién es un determinado usuario. Con algunos
> > pocos clic en la interfaz basada en web, todas las tareas
> > administrativas relacionadas con cuentas de usuarios y correo
> > electrónico son ejecutadas fácilmente.
> >
> > Pero no solamente de correo electrónico vive JeguePanel. También permite
> > la administración y mantenimiento de recursos de red en servidores
> > basados en Samba, proveyendo así un nuevo paso para la administración
> > eficiente de los recursos de la red y de sus permisos de acceso, estando
> > también totalmente integrado con los permisos de servidores Gnu/Linux
> > y/o Windows.
> >
> > Junto con estas novedades, varias correcciones y otras funcionalidades
> > fueron agregadas en la nueva versión:
> >
> >     *
> >
> >       Nuevo instalador que usa Ajax con diversas correcciones.
> >
> >     *
> >
> >       El idioma del proyecto, a partir de la versión 2.0 será inglés.
> >       Esto significa que será necesario utilizar gettext para traducir
> >       la interfaz para Español. Nuestro equipo hace la traducción y
> >       todos los hispanoparlantes continuarán disfrutando de la interfaz
> >       en su idioma nativo.
> >
> >     *
> >
> >       Postdata o "firma general" por dominio. Esta opción permite que se
> >       incluya un texto al pie de cada uno de los mensajes que sean
> >       enviados por los usuarios del servidor.
> >
> >     *
> >
> >       Soporte para Active Directory. Es posible mantener sincronizados
> >       los usuarios del servidor Windows 2003 Server con el JeguePanel.
> >       Para esto fue desarrollado un agente que corre en el servidor W2K3
> >       enviando la información al servicio OpenLDAP, usado por
> >       JeguePanel, y viceversa. Estos agentes son usados para crear
> >       usuarios y para cambiar claves. El resto de las informaciones,
> >       como el nombre y el apellido, son sincronizadas por el nuevo
> >       jpsync, un programa realizado en Perl que detecta los cambios y
> >       los replica.
> >
> >     *
> >
> >       Base de datos SQL. A partir de la versión 2.0 JeguePanel se libera
> >       del OpenLDAP y permite que se utilice SQL como base de usuarios,
> >       dominios, claves e informaciones. Excepto para el caso que se
> >       utilice la extensión para Active Directory, donde OpenLDAP es
> >       obligatorio.
> >
> >     *
> >
> >       Nueva interfaz para definir, por dominio, el mensaje de retorno de
> >       correo negado, infectado por un virus.
> >
> >     *
> >
> >       A partir de esta versión, los usuarios deshabilitados por haber
> >       llenado su cuota de disco quedan imposibilitados de recibir nuevos
> >       mensajes y también de enviar mensajes.
> >
> >     *
> >
> >       Nueva sintaxis para la devolución de textos cifrados base64,
> >       evitando la mayoría de los errores al salvar textos en los campos
> >       de retorno de los mensajes.
> >
> >     *
> >
> >       Fue mejorado el soporte al Egroupware. JeguePanel cuenta ahora con
> >       una herramienta para agregar/borrar aplicativos a diversos
> >       usuarios a la misma vez;
> >
> >     *
> >
> >       El jpr.pl responsable por la generación de los reportes del
> >       Postfix es ahora un daemon que revisa el archivo mail.log y
> >       registra las informaciones de cada mensaje en una base Sqlite. Así
> >       la recopilación de información es instantánea y muy liviana.
> >
> >     *
> >
> >       La función de agregar un dominio fue modificada, buscando acelerar
> >       su desempeño. Lo que antes se realizaba mediante un shell script
> >       ahora se hace utilizando el comando postconf.
> >
> >     *
> >
> >       El soporte al anti-virus ClamAV fue modificado. No se utiliza más
> >       el comando clamscan, que ha sido reemplazado por el comando
> >       clamdscan que utiliza el daemon del ClamAV. Este cambio permite
> >       que la tarea de revisar los mensajes sea mucho más eficiente.
> >
> > Conozca el JeguePanel en la http://www.jeguepanel.net
> > <http://www.jeguepanel.net/> y haga su propia prueba on-line. Las
> > opciones de administración de su red son diversas, independientemente
> > del tamaño y la plataforma.
> >
> >
> >
> > --
> > Ubuntu-co mailing list
> > Ubuntu-co en lists.ubuntu.com
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-co
> >
>
> --
> Ubuntu-co mailing list
> Ubuntu-co en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-co
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://lists.ubuntu.com/archives/ubuntu-co/attachments/20071105/0c92c42d/attachment.html>

Más información sobre la lista de distribución Ubuntu-co