(Por El Microsaurio) Que no te agarren sin los perros, o tendrás problemas (y no de pulgas) Y si ya te quedaste tranquilo, porque usás la versión nueva, arrimate y te cuento por qué había que actualizar…
Aunque los desarrolladores de PHPList afirman que está todo bien, que no pasó nada, que no se conocen ataques que aprovechen esa falla de seguridad, yo aprendí que… bueno… las brujas no existen, pero que las hay, las hay.
¿Y de qué falla estoy hablando? Pues de la que amablemente describe aquí su descubridor, Hanno (Juancito) Boeck, que trabaja en un webhosting alemán.
Es un falla bastante simple, un CSRF, “cross site request forgery” producido por un error (medio grosero) en la programación de PHPList. El escenario es el siguiente: Un dueño/administrador de un website donde se use PHPList está trabajando a través de la web, modificando esto o aquello en su listado de suscriptores. Sin cerrar el browser, al ganso se le ocurre navegar hacia una web cualquiera y zácate, ahí lo espera el maligno de turno, que puede hacer el camino al revés (desde el nuevo website meterse en la administración del PHPList) y le amarga soberanamente la vida.
¿Cómo ingresa ese intruso? No te lo diré, pero es relativamente fácil.
Como te contaba arriba, Hanno Boeck publicó la semana pasada, bastante calentito, una lacónica nota donde indicaba que él descubrió el problema y le avisó a los de PHPList el 3 de febrero. El 10 de febrero se publicó en el website oficial la versión 2.10.13 de PHPList, que contiene una modificación del producto para solucionar la falla de seguridad, y… ni las gracias. Como es un señorito educado, Boeck se bancó dos meses y tiró la bronca, informando que la empresa no le había adjudicado crédito.
No te creas que es un asunto de amor propio desmedido. Es una norma no escrita que cuando una empresa recibe un aviso, donde alguien los notifica, detalla una falla de un producto y mantiene reserva hasta que salga el parche, luego recibirá el crédito correspondiente. Ojo, que ese reconocimiento público, además de engordar el curriculum, indica que la persona puede cobrar un manguito más por sus servicios, tiene más chapa, como decimos acá en el sur.
En fin, si conocés a alguien que usa PHPList, ¿le podrías decir que se fije qué versión corre en su server? No sea que los amigos de lo ajeno lo estén zapateando como en un concurso de malambo…
(Nota de RDG: Tecnozona usa PHPlist para el envío de su newsletter y, of corrss, no podía ser de otra manera, ya está actualizado. No sea cosa que en casa de herrero… ¿no?)