Doncs sembla que la versió 4.2 de l'ERP lliure ja no està mantinguda, encara que en el seu repositori de codi posin la branca 4.2 com a mature en realitat hi hauria de posar abandoned. Les raons per pensar això són simples:

• No es fa cap mena de backport de seguretat.
• No es fa cas de cap bug enviat per la branca 4.2.

Tot comença quan fa un temps vaig descobrir que el protocol pickle de python era poc segur, després vaig veure que efectivament en la versió 5 estava arreglat, però no estava arreglat a la 4.2 (aquí és quan el meu cap pensa WTF?) quan el patch que s'ha d'aplicar és molt senzill i a més quan ja està arreglat a la versió 5. Vaig decidir obrir un bug #452379 adjuntant el patch i un exploit. El bug el vaig fer en privat (com es sol fer amb tots els bugs de seguretat) però al cap d'un mes cansat de la passivitat de l'equip de qualitat de l'OpenERP vaig decidir fer-lo públic.

També vaig enviar un altre bug #452373, aquest potser fins i tot més greu, permet executar qualsevol mètode del servidor sense usuari ni contrassenya (això és molt fort). També vaig adjuntar un patch i un possible exploit que llistava tots els usuaris i contrassanyes de l'ERP.

Aprofito per dir que per Internet corren bastants servidors vulnerables corrent amb 4.2. La segona vulnerabilitat de la que parlo també afecta a la versió 5 en primeres versions.

Si teniu servidors en 4.2 en producció apliqueu aquests dos pedaços per seguretat:

• tiny_socked_remote_code_execution.diff
• object_proxy_bypass.diff