rt/etc/upgrade/vulnerable-passwords.in

   1 #!@PERL@
   2 # BEGIN BPS TAGGED BLOCK {{{
   3 #
   4 # COPYRIGHT:
   5 #
   6 # This software is Copyright (c) 1996-2017 Best Practical Solutions, LLC
   7 #                                          <sales@bestpractical.com>
   8 #
   9 # (Except where explicitly superseded by other copyright notices)
  10 #
  11 #
  12 # LICENSE:
  13 #
  14 # This work is made available to you under the terms of Version 2 of
  15 # the GNU General Public License. A copy of that license should have
  16 # been provided with this software, but in any event can be snarfed
  17 # from www.gnu.org.
  18 #
  19 # This work is distributed in the hope that it will be useful, but
  20 # WITHOUT ANY WARRANTY; without even the implied warranty of
  21 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  22 # General Public License for more details.
  23 #
  24 # You should have received a copy of the GNU General Public License
  25 # along with this program; if not, write to the Free Software
  26 # Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  27 # 02110-1301 or visit their web page on the internet at
  28 # http://www.gnu.org/licenses/old-licenses/gpl-2.0.html.
  29 #
  30 #
  31 # CONTRIBUTION SUBMISSION POLICY:
  32 #
  33 # (The following paragraph is not intended to limit the rights granted
  34 # to you to modify and distribute this software under the terms of
  35 # the GNU General Public License and is only of importance to you if
  36 # you choose to contribute your changes and enhancements to the
  37 # community by submitting them to Best Practical Solutions, LLC.)
  38 #
  39 # By intentionally submitting any modifications, corrections or
  40 # derivatives to this work, or any other work intended for use with
  41 # Request Tracker, to Best Practical Solutions, LLC, you confirm that
  42 # you are the copyright holder for those contributions and you grant
  43 # Best Practical Solutions,  LLC a nonexclusive, worldwide, irrevocable,
  44 # royalty-free, perpetual, license to use, copy, create derivative
  45 # works based on those contributions, and sublicense and distribute
  46 # those contributions and any derivatives thereof.
  47 #
  48 # END BPS TAGGED BLOCK }}}
  49 use 5.10.1;
  50 use strict;
  51 use warnings;
  52
  53 use lib "@LOCAL_LIB_PATH@";
  54 use lib "@RT_LIB_PATH@";
  55
  56 use RT -init;
  57
  58 $| = 1;
  59
  60 use Getopt::Long;
  61 use Digest::SHA;
  62 my $fix;
  63 GetOptions("fix!" => \$fix);
  64
  65 use RT::Users;
  66 my $users = RT::Users->new( $RT::SystemUser );
  67 $users->Limit(
  68     FIELD => 'Password',
  69     OPERATOR => 'IS NOT',
  70     VALUE => 'NULL',
  71     ENTRYAGGREGATOR => 'AND',
  72 );
  73 $users->Limit(
  74     FIELD => 'Password',
  75     OPERATOR => '!=',
  76     VALUE => '*NO-PASSWORD*',
  77     ENTRYAGGREGATOR => 'AND',
  78 );
  79 $users->Limit(
  80     FIELD => 'Password',
  81     OPERATOR => 'NOT STARTSWITH',
  82     VALUE => '!',
  83     ENTRYAGGREGATOR => 'AND',
  84 );
  85 push @{$users->{'restrictions'}{ "main.Password" }}, "AND", {
  86     field => 'LENGTH(main.Password)',
  87     op => '<',
  88     value => '40',
  89 };
  90
  91 # we want to update passwords on disabled users
  92 $users->{'find_disabled_rows'} = 1;
  93
  94 my $count = $users->Count;
  95 if ($count == 0) {
  96     print "No users with unsalted or weak cryptography found.\n";
  97     exit 0;
  98 }
  99
 100 if ($fix) {
 101     print "Upgrading $count users...\n";
 102     while (my $u = $users->Next) {
 103         my $stored = $u->__Value("Password");
 104         my $raw;
 105         if (length $stored == 32) {
 106             $raw = pack("H*",$stored);
 107         } elsif (length $stored == 22) {
 108             $raw = MIME::Base64::decode_base64($stored);
 109         } elsif (length $stored == 13) {
 110             printf "%20s => Old crypt() format, cannot upgrade\n", $u->Name;
 111         } else {
 112             printf "%20s => Unknown password format!\n", $u->Name;
 113         }
 114         next unless $raw;
 115
 116         my $salt = pack("C4",map{int rand(256)} 1..4);
 117         my $sha = Digest::SHA::sha256(
 118             $salt . $raw
 119         );
 120         $u->_Set(
 121             Field => "Password",
 122             Value => MIME::Base64::encode_base64(
 123                 $salt . substr($sha,0,26), ""),
 124         );
 125     }
 126     print "Done.\n";
 127     exit 0;
 128 } else {
 129     if ($count < 20) {
 130         print "$count users found with unsalted or weak-cryptography passwords:\n";
 131         print "      Id | Name\n", "-"x9, "+", "-"x9, "\n";
 132         while (my $u = $users->Next) {
 133             printf "%8d | %s\n", $u->Id, $u->Name;
 134         }
 135     } else {
 136         print "$count users found with unsalted or weak-cryptography passwords\n";
 137     }
 138
 139     print "\n", "Run again with --fix to upgrade.\n";
 140     exit 1;
 141 }