#parafie — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #parafie, aggregated by home.social.
-
Jak pomoc organistce skończyła się zgłoszeniem CVE, czyli o krytycznej dziurze w popularnym oprogramowaniu dla parafii
Czasem najlepsze historie zaczynają się niewinnie. Jeden z naszych Czytelników poproszony o pomoc przez znajomą organistkę przy wdrożeniu programu FARA – popularnego oprogramowania do zarządzania parafią – nie spodziewał się, że to, co odkryje, zaprowadzi go na wojenną ścieżkę z producentem i skończy się oficjalnym zgłoszeniem podatności CVE koordynowanym przez CERT Polska. Z tej historii dowiecie się, jak dziwnie niektórzy z producentów oprogramowania potrafią zareagować na zgłaszane błędy i jak tego typu reakcje mogą narazić na niebezpieczeństwo tysiące osób.
Autorem niniejszego artykułu jest nasz Czytelnik Mateusz Sirko, który chciał podzielić się z nami swoją dość ciekawą historią. Do nadesłanego materiału wprowadziliśmy drobne redakcyjne poprawki. Jeśli i Ty masz jakąś historię, którą chciałbyś się podzielić z innymi, daj nam znać.
Backdoor w prezencie, czyli 1-skrypt.php
Program FARA, używany w wielu polskich parafiach do zarządzania danymi wiernych, intencjami mszalnymi czy cmentarzami, do pełnej funkcjonalności wymaga od swoich klientów umieszczenia na serwerze WWW specjalnego pliku: 1-skrypt.php. Mateusz, analizując ten skrypt, od razu zauważył, że jest to tykająca bomba.
Skrypt ten, po umieszczeniu na serwerze parafii (często pod nazwą fara_iwg.php), stawał się otwartą furtką dla każdego, kto znał jego adres. A znalezienie go nie było trudne – wystarczyło skorzystać z publicznie dostępnych list parafii.
Grzebiemy głębiej – dekompilacja i twarde hasła
To jednak był dopiero początek. Skoro tak prosty skrypt był tak niebezpieczny, co mogło kryć się w samej aplikacji desktopowej? Mateusz [...]