ALERTA: Inyección de código shell en Novell Identity Manager 3.0.x

Comenta Ropero (hello :P) que Novell Identity Manager 3.0.x sufre de un notorio problema de seguridad.

novell

Si bien es un producto bastante alejado del empleo doméstico, me consta que algunos lectores del blog tienen a su cargo este popular gestor de identidades en sus entornos corporativos, motivo por el cual, me hago eco de la alerta.

La alerta original es de hace una semana, pero no ha terminado de trascender hasta más o menos la jornada de ayer, y es que los circuitos de información en productos corporativos van como las cosas de palacio: despacio :)

Novell Identity Manager es un excelente gestor de identidades corporativas para sistemas Novell Linux. La principal ventaja del producto es que automatiza el ciclo de vida completo de un usuario corporativo. Permite asignaciones iniciales, cambios, propagación de las indentidades hacia el espacio de aplicaciones, sincronización de múltiples claves en una única en sistemas Single Sign-On, así como la definición y aplicación de políticas de creación, conservación y cancelación de contraseñas.

El problema radica en un script llamado ‘idmlib.sh’, que no valida adecuadamente algunos valores suministrados por el usuario. Esto puede ser aprovechado para la inyección de comandos shell maliciosos, que podrían, siempre en entornos de red local, la ejecución de código arbitrario y la elevación de privilegios, siendo posible ganar root en la máquina. Para actualizar, hay que tirar de los parches oficiales, disponibles en el servicio de soporte.

La existencia de gestión de identidades es requisito en muchas especificaciones, por ejemplo, Sarbanes Oxley, así como los apartados correspondientes de otras regulaciones que impliquen el control y la protección de datos personales. Y es que este producto tiene como corazón lo que se llama Policy Builder, que permite la definición de políticas, filtros, definir las políticas vía Designer y vía iManager, aprovisionamiento de identidades, definición de políticas vía plantillas XSLT y una utilísima funcionalidad que se llama Schema Mapping, mediante la cual se pueden reducir las políticas a esquemas que sirven para interconectar el espacio de nombres de las aplicaciones y módulo blindado de identidades. Eso hace fácilmente reproducibles y propagables las necesidades de gestión de identidad en entornos multiaplicación (los habituales en grandes corporaciones). En resumen, una joya :)

Es muy frecuente que Novell Identity Manager opere como backend o complemento del servicio de directorio de la compañía. Un ejemplo de estos macrodespliegues puede ser el que se realizó en el Aeropuerto de Schiphol de Amsterdam, que gestiona con este producto 2500 identidades en un único punto de control, logrando una reducción del tiempo de administración del 25% respecto a la solución anterior. Este despliegue siempre trae cola en los versus entre soluciones Linux y Microsoft, sobre todo después de que el jefe sistemas del aeropuerto, Onno Hagers, asegurase que We looked at Microsoft Active Directory, but found that Novell eDirectory was superior technology :)

Saludos a todos.