Problemo de seguridad en WHMCS
tonysanchez
17/05/2013, 20:43
Si si.. si el Director de la Agencia y los demas mamporerroros politicos españoles y europeos pueden decir misa...
Per que seguridad juridica existe, con un pais como EEUU que tiene una ley Patriot Act, de rango superior para las empresas con capital USA, que permite a cualquier hijo de sus madre SIN garantias juridicas el acceso a tus datos?
A saber, Amazon puede haber suscrito la Safe Harbour, pero... es capital americano, por lo que cualquier instancia de una de sus EC, en cualquier datacenter del mundo incluido el europeo, es sucepctible, de ser vista, por una persona sin autorización judicial. Simplemente, acreditando ser de las fuerzas de seguridad del estado, (USA)... que cosas.
Vamos, lo mio no es el derecho, pero esto lo veo muy torcido.
juanillo
17/05/2013, 20:14
Sí que es curioso, sí ...
pero por lo que dicen en la agpd,
https://www.agpd.es/portalwebAGPD/ca...ides-idphp.php,
Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario:
Autorización del Director de la Agencia Española de Protección de Datos, salvo:
Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que hayan suscrito los principios de Puerto Seguro.
Que se trate de supuestos legalmente excepcionados de la autorización del Director.
Precisamente la semana que viene tengo revisión con el gestor que me lleva la LOPD. Se lo preguntaré antes de hacer nada, pero la verdad es que los sistemas de help desk que hay hoy en día (en USA por cierto) están muy interesantes.
tonysanchez
17/05/2013, 18:58
Curioso lo de la Safe Harbor... no se para que tanto lio, si tener algo en una nube en la que la empresa sea Norteamericana, ya incumple la LOPD y las directivas europeas, por mucho que quieran decir que no.
Desde hace ya muchosssss añoss existe en EEUU una ley llamada Patriot Act, que le da permiso a cualquier agencia de los EEUU, ha intervenir las comunicaciones de un proveedor de cualquiera de sus clientes, con razón de la seguridad nacional, y sin orden judicial, lo que convierte a CUALQUIER empresa con capital EEUU en una empresa que no cumple las directivas europeas de proteccion de Datos.
Ahora bien, como no, los politicos, incluidos los de Bruselas, tienen el bolsillo ancho.
Sin embargo, en algo aplaudo a Oles@ por montar su DC en Canada,... y fue prefisamente, por esto.
Los hay que se les llena la boca de OpenSource, derechos y libertades como Kit DotCom, y luego se les raja el trasero con una pistola 3d...
juanillo
17/05/2013, 17:14
Tenemos otro ....
WHMCS has released new patches for the 4.5, 5.0, 5.1 and 5.2 minor releases.
These updates provide targeted changes to address security concerns with the
WHMCS product. You are highly encouraged to update immediately.
WHMCS has rated these updates as including critical or important security
impacts.
La de version 5.2 no la dan tan importante como la SQL Injection de las demás versiones.
Uno se cansa de tener que estar pendiente de tantas cosas. ¿Conocéis algún sistema de clientes que cumpla la safe harbor y que sea basado en la nube?, al igual que tenemos help desks y cosas como mailchimp en las que pagando una cuota anual te despreocupas.
Sé que tienen un importador de WHMCS a Hostbill, pero creo que solo ése.
Me registré en el foro para echarle un vistazo y en el tema de las importaciones no se han esmerado mucho.
kennysamuerto
20/03/2013, 18:59
Publicado inicialmente por
tonysanchez
La verdad, ...
5 años con WHMCs, y gracias al post, ya me he decidido... estabamos cambiando de sitio web, y me faltaba integrar el billing, y vamos a optar por hostbill..
Demasiados lios en la casa de Matt en los ultimos tiempos, y con esa forma tan particualr suya de "siempre la culpa es de los demas..." ya nos ha convenciado de irnos.
Gracias por el apunte... laverdad es que hostbill mejorado mucho
Si no es molestia, tanto a Tony como a Nadeu, si con el tiempo de uso creeis que podeis hacer una review en el foro, se agradeceria concer vuestra opinion, tanto de los pros y los contras contra WHMCS.
Yo tambien voy a migrar en breve, ¿que tal es el proceso de migracion?¿Tienen modulo o similar?
Saludos
tonysanchez
20/03/2013, 15:33
La verdad, ...
5 años con WHMCs, y gracias al post, ya me he decidido... estabamos cambiando de sitio web, y me faltaba integrar el billing, y vamos a optar por hostbill..
Demasiados lios en la casa de Matt en los ultimos tiempos, y con esa forma tan particualr suya de "siempre la culpa es de los demas..." ya nos ha convenciado de irnos.
Gracias por el apunte... laverdad es que hostbill mejorado mucho
Publicado inicialmente por
sdzzds
Yo estaba pensando migrar a WHMCS porque ahora está Cpanel detrás y seguramente lo mejoren y mucho, pero tanto problema de seguridad da miedo. Hostbill parece un sistema que ha evolucionado un montón desde que lo miré hace unos años, es un buen candidato, el problema son los importadores...
Creeme, HostBill es MUY buena opción. Y vengo de WHMCS. :-)
Saludos!
Yo estaba pensando migrar a WHMCS porque ahora está Cpanel detrás y seguramente lo mejoren y mucho, pero tanto problema de seguridad da miedo. Hostbill parece un sistema que ha evolucionado un montón desde que lo miré hace unos años, es un buen candidato, el problema son los importadores...
Publicado inicialmente por
kennysamuerto
Muchas Gracias Tony, lo probare, y te cuento.
Es decepcionante como estan tratando WHMCS, toda la razon, empieza a ser una perdida de tiempo muy grande, y eso es lo peor que puede pasarle a un script de este tipo.
A mi personalmente, la "fidelidad" la perdieron hace mucho tiempo. La pena es las pocas alternativas existentes, que estan muy verdes, pero como no espabilen... habra que empezar a plantearselo...
Saludos
HostBill verde? UberSmith quizás.. pero HostBill? es una pasada!!! DD
juanillo
17/03/2013, 11:35
Hola Tony,
Pues se solucionó poniendo mi cuenta de google apps en el email smtp. No sé como es que la había dejado en php-mailer. Ahí andaba el problema.
No obstante, chequearé lo que comentas de la codificación.
Gracias.
tonysanchez
17/03/2013, 06:58
El problema es la diferencia de codificacion entre la configuracion y algunas o todas la tablas, dependiendo de cuando instalaste el primer WHMCS.
Matt no se caracteriza por su buena hacer en programación, y cada version es un marrón ademas de sus lios de seguridad.
Lo mas seguro es que arrastres diferencias entre la codificacion del sitio (que sera UTF-8) y las tablas (algunas o todas) que estaran en iso y utf-8.
Lo suyo es pasar todo el sistema a utf-8 y dejarás de tener problemas.
Saludos.
juanillo
16/03/2013, 20:31
¿Habeis probado el sistema de tickets? ... a mi la codificacion en general me va bien. Pero el sistema de tickets me mete signos = por donde quiere; incluso en los enlaces al ticket que te envia por email, rompiendo totalmente el enlace al ticket. y enviandote al 404. Toda una faena para los no-clientes que envien un ticket de soporte y luego no puedan acceder a la respuesta ...
Fijaos que curioso ... escribo esto en un ticket,
hola, pongo la tilde en la o de anónimo. Pongo una arroba @ y una almohadilla #
¿interrogacion?
españa
recibo esto por email ...
ho= la, pongo la tilde en la o de anónimo. Pongo una arroba @ y una almoha= dilla #
¿interrogacion?
españa
La verdad es que da por saco el WHMCS hablando mal y claro ...
¿Teneis alguna idea de por donde pueden ir los tiros?
tonysanchez
16/03/2013, 19:56
kennysamuerto no te agobies mucho...
Código:
mysqldump --default-character-set=latin1 --skip-set-charset dbname > dump.sql
sed -r 's/latin1/utf8/g' dump.sql > dump_utf.sql
mysql --execute="DROP DATABASE dbname; CREATE DATABASE dbname CHARACTER SET utf8 COLLATE utf8_general_ci;"
mysql --default-character-set=utf8 dbname < dump_utf.sql
La verdad es que comienza a ser una perdida de tiempo el WHCMS, y lo malo esa que luego tiene admiradores por aqui.. divina juventud... que gran tesoro...
Saludos.
juanillo
16/03/2013, 09:56
Que barabarida. A ver si se estabiliza la cosa y nos dejan descansar un tiempito ...
tonysanchez
16/03/2013, 06:55
Pues ya ha salido una nueva version y un nuevo aprhce, asi que me tempo que hay mas agujeros...
5.1.5 y 5.2.2
Buenos dias..
tonysanchez
13/03/2013, 19:05
Hombre su README te dice que elimines los ficheros ... eso es de cajon..
Pero vamos lo mejro aprate de todo es protegerlo via htaccess, porque ya es un poco castaña el tema... al admin solo los admins.
Saludos.
juanillo
13/03/2013, 18:46
Si, yo anoche conforme recibi el email en la cama me pensé en levantar para meterle mano o cerrar el whmcs. Pero entonces recordé que a las 00 se hace backup, así que dormi "tranquilo".
Ha sido levantarme y construir el edificio desde los cimientos. Nada de upgradear y dejar cosas viejas por ahí perdidas, que se quedan, que algunas cosas las cambian de sitio y uno dejas las viejas sin darte cuenta. Por ejemplo me acuerdo del phpmailer que creo que fue una cosa que cambiaron de carpeta en su día y uno al upgradear no lo pisa, sino que deja la versión vieja colgando por ahí.
Primero upgradear para poner la BD en su versión nueva.
Luego backup de la BD, borrar todo, e instalar desde cero. Una vez todo online, cuestión de poner el configuration.php viejo y la BD vieja y arreando.
Yo tengo un poquito de sicosis con el WHMCS ... a ver si me la alivian y tapan bien los agujeros.
tonysanchez
13/03/2013, 13:31
La verdad es que comienza a ser preocupante el tema de WHCMS...
juanillo
13/03/2013, 08:39
Para los que no estéis al tanto, corred a parchear el WHMCS, que parece gordo el problema ...
========================================
WHMCS Security Advisory for 4.x, 5.x
http://blog.whmcs.com/?t=69402
========================================
WHMCS has released new patches for the 4 and 5 series. These updates provide
targeted changes to address security concerns with the WHMCS product. You are
highly encouraged to update immediately.
WHMCS has rated these updates as including critical and important security
impacts. Information on security ratings is available at
http://go.whmcs.com/74/securitylevels.
++++++++++++
Releases
++++++++++++
The following versions of WHMCS address all known vulnerabilities:
5.0.4
5.1.4
STABLE 5.2.1
The latest public releases of WHMCS are available inside our members area at
https://www.whmcs.com/members/clientarea.php
++++++++++++++++++++++++++++++++++++
Security Issue Information
++++++++++++++++++++++++++++++++++++
The resolved security issues were all identified by Vlad C. of NetSec
Interactive Solutions
. There is no reason to
believe that these vulnerabilities are known to the public. As such, WHMCS will
only release limited information regarding the vulnerabilities at this time.
Once sufficient time has passed to allow WHMCS customers to update their
installed software, WHMCS will release additional information regarding the
nature of the security issues. These Targeted Security Releases and Patches
address 6 vulnerabilities in WHMCS version 4.0, 4.1, 4.2, 4.3, 4.4, 4.5, 5.0,
5.1, and BETA 5.2. Additional, supplemental information is scheduled to be
released April 9th, 2013.
