Sejmowy serwer dalej z lukami?

W 2004 roku jeden z Internautów zgłosił administratorowi serwera sejmwego - ks.sejm.gov.pl błąd dzięki któremu jest możliwość przeglądania plików systemowych serwera.

Sprawa jest godna uwagi ze względu, że mamy rok 2007, a luka dalej jak była tak jest, żadne kroki nie zostały podjęte aby to należycie naprawić. Bardzo ciekawym aspektem jest również odpowiedź administratora na informację o błędzie.

Przedstawiamy wiadomość zaadresowaną do administratora oraz jego odpowiedź (wszelkie informacje są już opublikowane w Internecie):

Kawalek mojego maila (<-- maila Internauty):

"A wiec tak...

/etc/passwd

root:Gsk4Riel5Z1Xg:0:3::/home/pms/:/sbin/sh
daemon:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
sys:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucppublic:/usr/lbin/uucp/uucico
lp:*:9:7::/var/spool/lp:/sbin/sh
nuucp:*:11:11::/var/spool/uucppublic:/usr/lbin/uucp/uucico
hpdb:*:27:1:ALLBASE:/:/sbin/sh
www:*:30:1::/:
smbnull:*:101:101:DO NOT USE OR DELETE - needed by
Samba:/home/smbnull:/sbin/sh
guest::102:20:,,,:/home/guest:/usr/bin/csh
ftp:*:500:1:Anonymous FTP user:/home/ftp:/usr/bin/false
pms:Y/OxnABlzNdCw:103:20:,,,:/home/pms:/usr/bin/sh
media:fACvWeGdgWi3E:105:20:,,,:/home/media:/usr/bin/sh
topicdba:bkkpsiyw0HayM:106:102:,,,:/topic/home/topicdba:/usr/bin/csh
topicuse:xpxzO3/0Kj.FE:107:102:,,,:/topic/home/topicuse:/usr/bin/sh
topicdat:YpKheZ9AW224s:104:102:,,,:/topic/home/topicdat:/usr/bin/csh
wisia:ZjRzFicDUS3g6:108:20::/home/wisia:/sbin/sh

/etc/issue

GenericSysName [HP Release B.11.00] (see /etc/issue)
/etc/inetd.conf

## Configured using SAM by root on Mon Oct 15 09:18:47 2001
##
#
# @(#)inetd.conf $Revision: 1.24.214.3 $ $Date: 97/09/10 14:50:49 $
#
# Inetd reads its configuration information from this file upon execution
# and at some later time if it is reconfigured.
#
# A line in the configuration file has the following fields separated by
# tabs and/or spaces:
#
# service name as in /etc/services
# socket type either "stream" or "dgram"
# protocol as in /etc/protocols
# wait/nowait only applies to datagram sockets, stream
# sockets should specify nowait
# user name of user as whom the server should run
# server program absolute pathname for the server inetd
will # execute
# server program args. arguments server program uses as they
normally
# are starting with argv[0] which is the
name of
# the server.
#
# See the inetd.conf(4) manual page for more information.
##
##
#
# ARPA/Berkeley services
#
##
ftp stream tcp nowait root /usr/lbin/ftpd ftpd -l
telnet stream tcp nowait root /usr/lbin/telnetd telnetd
# Before uncommenting the "tftp" entry below, please make sure
# that you have a "tftp" user in /etc/passwd. If you don't
# have one, please consult the tftpd(1M) manual entry for
# information about setting up this service.
tftp dgram udp wait root /usr/lbin/tftpd tftpd\
/opt/ignite\
/var/opt/ignite
#bootps dgram udp wait root /usr/lbin/bootpd bootpd
#finger stream tcp nowait bin /usr/lbin/fingerd fingerd
login stream tcp nowait root /usr/lbin/rlogind rlogind
shell stream tcp nowait root /usr/lbin/remshd remshd
exec stream tcp nowait root /usr/lbin/rexecd rexecd
#uucp stream tcp nowait root /usr/sbin/uucpd uucpd
ntalk dgram udp wait root /usr/lbin/ntalkd ntalkd
ident stream tcp wait bin /usr/lbin/identd identd
##
#
# Other HP-UX network services
#
##
printer stream tcp nowait root /usr/sbin/rlpdaemon rlpdaemon -i
##
#
# inetd internal services
#
##
daytime stream tcp nowait root internal
daytime dgram udp nowait root internal
time stream tcp nowait root internal
#time dgram udp nowait root internal
echo stream tcp nowait root internal
echo dgram udp nowait root internal
discard stream tcp nowait root internal
discard dgram udp nowait root internal
chargen stream tcp nowait root internal
chargen dgram udp nowait root internal
##
#
# rpc services, registered by inetd with portmap
# Do not uncomment these unless your system is running portmap!
#
##
# WARNING: The rpc.mountd should now be started from a startup script.
# Please enable the mountd startup script to start rpc.mountd.
##
#rpc stream tcp nowait root /usr/sbin/rpc.rexd 100017 1
rpc.rexd
#rpc dgram udp wait root /usr/lib/netsvc/rstat/rpc.rstatd
100001 2-4 rpc.rstatd
#rpc dgram udp wait root /usr/lib/netsvc/rusers/rpc.rusersd
100002 1-2 rpc.rusersd
#rpc dgram udp wait root /usr/lib/netsvc/rwall/rpc.rwalld
100008 1 rpc.rwalld
#rpc dgram udp wait root /usr/sbin/rpc.rquotad 100011 1
rpc.rquotad
#rpc dgram udp wait root /usr/lib/netsvc/spray/rpc.sprayd
100012 1 rpc.sprayd
##
#
# The standard remshd and rlogind do not include the Kerberized
# code. You must install the InternetSvcSec/INETSVCS-SEC fileset and
# configure Kerberos as described in the SIS(5) man page.
#
##
kshell stream tcp nowait root /usr/lbin/remshd remshd -K
klogin stream tcp nowait root /usr/lbin/rlogind rlogind -K
##
#
# NCPM programs.
# Do not uncomment these unless you are using NCPM.
#
##
#ncpm-pm dgram udp wait root /opt/ncpm/bin/ncpmd ncpmd
#ncpm-hip dgram udp wait root /opt/ncpm/bin/hipd hipd
dtspc stream tcp nowait root /usr/dt/bin/dtspcd /usr/dt/bin/dtspcd
rpc xti tcp swait root /usr/dt/bin/rpc.ttdbserver 100083 1
/usr/dt/bin/rpc.ttdbserver
rpc dgram udp wait root /usr/dt/bin/rpc.cmsd 100068 2-5 rpc.cmsd
recserv stream tcp nowait root /usr/lbin/recserv recserv -display :0
swat stream tcp nowait.400 root /opt/samba/bin/swat swat
registrar stream tcp nowait root /etc/opt/resmon/lbin/registrar
/etc/opt/resmon/lbin/registrar
/etc/fstab
/dev/vg00/lvol3 / vxfs delaylog 0 1
/dev/vg00/lvol1 /stand hfs defaults 0 1
/dev/vg00/lvol4 /tmp vxfs delaylog 0 2
/dev/vg00/lvol6 /opt vxfs delaylog 0 2
/dev/vg00/lvol7 /usr vxfs delaylog 0 2
/dev/vg00/lvol8 /var vxfs delaylog 0 2
/dev/vg00/lvol5 /topic vxfs rw,suid,nolargefiles,delaylog,datainlog 0 2
instl_boots dgram udp wait root /opt/ignite/lbin/instl_bootd instl_bootd
mpokul:It1kgwtctdHjI:109:20:,,,:/home/mpokul:/usr/bin/sh
............
moge reszty nie pokazywac ? Nie chce mi sie/nie mam czasu/nie chce zeby
to bylo traktowane, jak proba wlamu.
Po prostu chce pokazac, ze nie mowie nieprawdy.
Blad tkwi tutaj:
link
Ktos z tworcow skryptu nawalil.. i to nawalil porzadnie....."

Odpowiedź administratora:

"Mysle ze jednak jeszcze daleko do przejecia kontroli. Wiem ze jest stary
Apache ale tak musi zostac. Przynajmniej mozna epatwoac mozliwoscia
bejrzenia /etc/passwd i paru innych. Dziekuje za zainteresowanie. Byc moze kiedys uda
sie zmienic wersje co nie jest proste ze wzgldu na licencje zwiazane z Verity.
Zwykle odzywaja sie problemy z zakupem nowych wersji i tak musi poki co
pozostac. "

Teraz zastanówmy się na co idą tak na prawdę nasze pieniądze, bo na pewno nie na prawdziwych administratorów. Nie ma co się dziwić, że ostatnimi czasy serwery rządowe i ich aplikacje są często penetrowane, ich bezpieczeństwo jak i podejście administratorów jest żałosne.

Wersja systemu, która jest w dalszym ciągu używana przez sejmowy serwer pochodzi z roku 2001 i zapewne w ogóle nie była, ani nie jest aktualizowana.