Quei buchi nello Whois del NIC

In una mailing list italiana dedicata alla sicurezza si è palesato un grave buco di sicurezza nel delicatissimo database dello Whois. Ecco i dettagli in attesa di una risposta del NIC

Roma - Sulla mailing list che ospitiamo sui nostri server è stato recentemente segnalato un gravissimo problema di sicurezza nell'interfaccia via web del whois del NIC-IT.

In breve: da molti anni, e fino a qualche giorno fa, chiunque avesse voluto avrebbe potuto eseguire comandi sul web server che ospita le CGI di ricerca (con un trucco che già conoscevano gli hacker della preistoria informatica).

E ' ovvio che questo apriva innumerevoli possibilità ad un hacker malintenzionato di cercare di guadagnare il controllo completo del sistema (root) con le conseguenze facilmente immaginabili, in una rete importante come quella del NIC.
Il problema era dovuto alla carenza assoluta di controllo sull'input passato dall'utente nei form, che veniva rigirato sulla linea di comando del Whois esattamente come ricevuto.

Ora i problemi sembrano essere stati risolti, ma è ovvio che una carenza tanto lampante non lascia presagire niente di buono... Quel baco è stato fixato in maniera corretta? Quanti altri problemi ci sono nelle varie CGI sparse sui server del NIC (in particolar modo nella sezione riservata ai manteiners, dove è possibile modificare direttamente i dati)? E i server? Chi ha il coraggio di mettere on-line una CGI così becera, è in grado di configurare i propri sistemi in maniera che siano all'altezza di un compito importante come gestire gli archivi dei domini.it?

Distinti saluti,

Igor Falcomatà

Quanto emerso è decisamente preoccupante e sarà senz'altro nostra cura pubblicare su queste stesse pagine una replica di chi gestisce quel database a cui questa lettera è stata segnalata. Nella speranza che tutti i dubbi sollevati dagli esperti della ML possano essere sciolti. La redazione.
TAG: domini