eEn este wiki se detallan las vulnerabilidades detalladas en el incidente:
| nro | descripción | estado | comentario / sugerencia |
|---|---|---|---|
| 1 | en análisis | ||
| 2 | en desarollo | ||
| 3 | en análisis | ||
| 4 | usuario admin:admin | ignorado | La instalación de O3 sale con el usuario administrador (admin:admin) y los clientes deben cambiar la contraseña de este usuario o crear su propio usuario administrador |
| 5 | Se debe realizar cambios cambios en la configuración de apache en el cliente: Editar el archivo .htaccess. Se trata de un archivo de texto que puede contener una serie de variables de configuración del entorno del sitio web, se tiene que crear paginas con los mensajes de error que queremos personalizar, quedaría algo así: ErrorDocument 400 /directorio/error/badsyntax.html
También si se quiere cambiar a todo el servidor apache, se agregan esas reglas al httpd.conf. Para deshabilitar el listado de directorios (Directory Index) en sitios web corriendo en un servidor Apache, crearemos un fichero .htaccess dentro de la carpeta concreta en la que queramos desactivar el listado de directorios, y si es para el sitio completo, lo hacemos en el raíz del sitio. Dentro del fichero .htaccess deberemos poner lo siguiente "Options -Indexes". También se puede restringir el index al momento de configurar el servidor :
En este caso restringe el acceso directamente a la raíz. | ||
| 6 | |||
| 7 | |||
| 8 | |||
| 9 | |||
| 10 | |||
| 11 | |||
| 12 | versión de mysql |