(Por El Microsaurio) Lo que huele horrible es el tema del XML, tan vapuleado. La frase que disparó el famoso “…se viene todo abajo…” es de una empresa que pertenece al selecto grupo de los tapados a quienes no suele contradecirse. Se trata de Codenomicon Labs, compañía en cuya página pude leer “…ubicada en Finlandia, con oficinas en Silicon Valley y Hong Kong, la compañía vende servicios y software de prueba (…) algunos de los clientes que usan software Codenomicon son Adobe, Alcatel-Lucent, AT&T, Cisco Systems, Nortel, Microsoft y Siemens…” ¿Te va?
Ellos publicaron antes del fin de semana pasado un análisis de fallas de seguridad dentro de las bibliotecas (perdón, “librerías”) de XML, especialmente las open source. En uno de los párrafos tuve el displacer de leer: “…niveles de explotabilidad: depende del software vulnerable (…) facilidad de explotabilidad: también depende del software vulnerable (…) blanco posible del ataque: cualquier cosa que emplee XML…”
Espero que hayas leído la última frase despacio.
¿Cuál es el software afectado? Según lo especificado por el CERT Finlandia, que publicó esta Advisory “…se han descubierto varias vulnerabilidades que aparecen cuando se abren archivos XML empleando ciertas implementaciones de bibliotecas XML…” La nota continúa explicando que para disparar un ataque hay dos vías: que un usuario abra un archivo especialmente modificado, o que se envíe ese archivo “envenenado” a un servidor que maneje contenido XML. La “carga letal” de ese archivo puede estar compuesta por valores de bytes o paréntesis recursivos, que impulsen al programa a acceder a espacios de memoria fuera de límites, o a entrar en un bucle infinito. El resultado final puede ser un cuelgue o la ejecución de código indebido. Según el mismo CERT-Fi, la lista de software sería ésta:
- Python libexpat, Apache Xerces (todas las versiones), libxml2, y estos productos de Sun: JDK y JRE 6 Update 14 y anteriores, JDK y JRE 5.0 Update 19 y anteriores, OpenJDK 1.6
Para aumentar la tristeza general, ahí va la lista de sistemas que podrían ser atacados: servidores y aplicaciones de servidor; aplicaciones para estación de trabajo o usuario final; equipos para redes; sistemas embebidos, sistemas móviles y “otros” (sic).
En todos los casos, dicen los finlandeses, el remedio deberá ser provisto por el vendedor. Al respecto te diré que Sun, Apache y Red Hat ya publicaron parches, actualizaciones o lo que correspondiera. Los muchachos de Python dijeron que “están en eso”.
Así que podés comenzar a felicitar a todos los entusiastas usuarios del XML. Seré curioso: ¿tu procesador de textos usa XML?