Voxxed Days: DevOoops di Gianluca Varisco

G.Varisco al Voxxed Days in Ticino

G.Varisco al Voxxed Days in Ticino

Elasticsearch

Questo software, dal punto di vista della security, presenta vari aspetti che possono essere pericolosi: con una GET sulla 9200 si riceve la release. Oppure un cluster esposto può accettare l’aggiunta di un nodo e quindi tutti i dati contenuti nel cluster passeranno sul nodo aggiunto. Inoltre, per versioni precedenti fino alla 1.2.0, esistono vulnerabilità che permettono la remote code execution.

Per mitigare queste falle innanzitutto è meglio aggiornare alla versione 1.3.x che aggiunge una sandbox e configurare script.disable_dynamic: true e bindare i servizi solo su localhost per non esporli oltre il necessario.

In-memory databases

Questo prodotti stanno prendendo sempre più piede nelle varie infrastrutture e ne abbiamo visto un paio, tra cui quelli legati agli organizzatori. Uno di questi è redis che si pone come leader di mercato ed era presente al Voxxed Days in Ticino grazie allo sponsor Pivotal.

redis

Redis ha vari punti deboli nel setup di default che permette comunicazioni non criptate e l’accesso senza credenziali ed espone la porta 6379 su tutte le interfacce del server su cui viene installato. Ci sono quindi un po di problemi e delle crack già in giro in grado di eseguire pericolosi comandi come FLUSHALL e SCRIPT LOAD su queste macchine non configurate adeguatamente.

Memcache. Anche questo software ha dei problemi nelle installazioni di default che lo fanno girare come root connesso a tutte le interfacce: il consiglio solito è di mettere tali servizi dietro un firewall, usare un account apposito e solo sulle porte necessarie e porre un framework SASL.

Share Us

PinIt

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.