En este wiki se detallan las vulnerabilidades detalladas en el incidente:
| nro | descripción | estado | comentario / sugerencia |
|---|---|---|---|
| 1 | Cross-site Request forgery | en análisis | |
| 2 | Cross-site scripting (XSS) | en desarollo | |
| 3 | Redirección Abierta a Sitios no Confiables | en análisis | |
| 4 | Credenciales débiles | ignorado | La instalación de O3 sale con el usuario administrador (admin:admin) y los clientes deben cambiar la contraseña de este usuario o crear su propio usuario administrador |
| 5 | Información enviada por canal inseguro | ignorado | La instalación de O3 no sale con https configurado. Se sugiere a los clientes configurar un apache arriba del servidor con https. |
| 6 | Fuga de información | sugerencia de cambios para el cliente | Se debe realizar cambios cambios en la configuración de apache en el cliente: Editar el archivo .htaccess. Se trata de un archivo de texto que puede contener una serie de variables de configuración del entorno del sitio web, se tiene que crear paginas con los mensajes de error que queremos personalizar, quedaría algo así: ErrorDocument 400 /directorio/error/badsyntax.html
También si se quiere cambiar a todo el servidor apache, se agregan esas reglas al httpd.conf. Para deshabilitar el listado de directorios (Directory Index) en sitios web corriendo en un servidor Apache, crearemos un fichero .htaccess dentro de la carpeta concreta en la que queramos desactivar el listado de directorios, y si es para el sitio completo, lo hacemos en el raíz del sitio. Dentro del fichero .htaccess deberemos poner lo siguiente "Options -Indexes". También se puede restringir el index al momento de configurar el servidor :
En este caso restringe el acceso directamente a la raíz. |
| 7 | Sesiones Concurrentes | ignorada | En instalaciones de O3 con licencia "concurrente" se permite loguearse con el mismo usuario en distintos navegadores. Con licencia "Nominada" esto no se permite. |
| 8 | Métodos HTTP Inseguros | en análisis | |
| 9 | Cifrado Inseguro | cambio pendiente en configuración del apache en el cliente | Se debe realizar cambios cambios en la configuración de apache en el cliente: Se tiene que configurar apache para que no acepte el protocolo SSLv3, en el archivo ssl.conf se tiene que agregar a la propiedad "SSLProtocol all" "-SSLv3" al final, quedaría así "SSLProtocol all -SSLv3" con el "-" le decimos que protocolos queremos que rechace por ejemplo : "SSLProtocol all -SSLv2 -SSLv3" acepta todos menos SSLv2 y SSLv3. |
| 10 | Cabeceras de seguridad HTTP no implementadas | en análisis | |
| 11 | Identificadores de Sesión enviados por url | en análisis | |
| 12 | Software Desactualizado | versión de mysql desactualizada en el cliente | Se debe actualizar la versión de mysql en el cliente |