desde el área de Seguridad Informática de la Universidad Nacional de Luján venimos haciendo revisiones a distintas aplicaciones de la institución, la mayoría de las cuales -y por obvios motivos- son desarrollos del consorcio SIU con personalizaciones propias en cada universidad. Hemos hallado issues en varios de ellas, que estimamos han sido reportados a los grupos de trabajo correspondientes a través de los desarrolladores propios de cada aplicación (aunque de cualquier manera quedamos a disposición si a alguno de ellos les interesan nuestros hallazgos).
Revisando la aplicación Guaraní 3W en conjunto con los desarrolladores, encontramos que la URL “https://…/g3w3/logger” es (era) pública en nuestra institución, lo cual constituye un problema grave pues se publica información que no debería ser visible a terceros. Hallamos lo mismo en otras instituciones educativas.
Mis consultas son las siguientes:
¿qué funcionalidad provee tal URL?
¿es necesaria en producción?
¿qué configuración es necesaria para inhabilitar el acceso?
¿dónde está documentada tal configuración?
¿pueden contactarse con las instituciones que aún poseen tal URL pública para notificarles del inconveniente?
Disculpas por reportarlo justo en vísperas de las fiestas, pero preferimos hacerlo ahora antes que dejarlo sin resolver en vacaciones.
Gracias de antemano,
Si esto es algo que solemos ver en otras universidades , nosotros al detectar esos casos contactamos a las instituciones para que revisen esta informacion que esta siendo publica . Ya que vos estas observando este inconveniente en otras universidades esto es algo que podrías bien o avisarles del problema o bien escribinos a nosotros a nuestra casilla de correo , para avisarles de este tema y puedan resolverlo.
Todo bien, Sebastián, espero vos también por allá.
Gracias por la rápida respuesta. Con respecto a las notificaciones a otras universidades, si te parece bien, puedo enviarte un correo con la lista de las que hallamos así canalizamos el contacto a través de ustedes que son quienes más contacto tienen con los desarrolladores en cada institución.
Respecto a las otras preguntas de mi mensaje, podrás darnos algo de luz o indicarnos a quien consultárselas?
Que tal, Claudio. En principio, lo primero a revisar es que no esté accesible el recurso http://…edu.ar/logger en las instancias de Guaraní 3W en producción, pero en la breve búsqueda que hemos hecho no hemos hallado dominios de la UNR entre las instancias posiblemente afectadas.
Respecto a los restantes hallazgos, recién podré enviar la información luego del receso institucional (pues está almacenada en nuestra oficina y ahora no estoy yendo).
De todas formas quedo a la espera de respuestas a las consultas indicadas en el primer mensaje del hilo. Si vos o alguien del equipo de G3W puede aportar, será bienvenido.
Excelente, Emilio. Muchas gracias por las certeras respuestas.
Era más que sencillo. Me agendo pasarlas al área correspondiente para que apliquen los cambios necesarios.