rt/etc/upgrade/vulnerable-passwords.in

   1 #!@PERL@
   2 # BEGIN BPS TAGGED BLOCK {{{
   3 #
   4 # COPYRIGHT:
   5 #
   6 # This software is Copyright (c) 1996-2015 Best Practical Solutions, LLC
   7 #                                          <sales@bestpractical.com>
   8 #
   9 # (Except where explicitly superseded by other copyright notices)
  10 #
  11 #
  12 # LICENSE:
  13 #
  14 # This work is made available to you under the terms of Version 2 of
  15 # the GNU General Public License. A copy of that license should have
  16 # been provided with this software, but in any event can be snarfed
  17 # from www.gnu.org.
  18 #
  19 # This work is distributed in the hope that it will be useful, but
  20 # WITHOUT ANY WARRANTY; without even the implied warranty of
  21 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  22 # General Public License for more details.
  23 #
  24 # You should have received a copy of the GNU General Public License
  25 # along with this program; if not, write to the Free Software
  26 # Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  27 # 02110-1301 or visit their web page on the internet at
  28 # http://www.gnu.org/licenses/old-licenses/gpl-2.0.html.
  29 #
  30 #
  31 # CONTRIBUTION SUBMISSION POLICY:
  32 #
  33 # (The following paragraph is not intended to limit the rights granted
  34 # to you to modify and distribute this software under the terms of
  35 # the GNU General Public License and is only of importance to you if
  36 # you choose to contribute your changes and enhancements to the
  37 # community by submitting them to Best Practical Solutions, LLC.)
  38 #
  39 # By intentionally submitting any modifications, corrections or
  40 # derivatives to this work, or any other work intended for use with
  41 # Request Tracker, to Best Practical Solutions, LLC, you confirm that
  42 # you are the copyright holder for those contributions and you grant
  43 # Best Practical Solutions,  LLC a nonexclusive, worldwide, irrevocable,
  44 # royalty-free, perpetual, license to use, copy, create derivative
  45 # works based on those contributions, and sublicense and distribute
  46 # those contributions and any derivatives thereof.
  47 #
  48 # END BPS TAGGED BLOCK }}}
  49 use strict;
  50 use warnings;
  51
  52 use lib "@LOCAL_LIB_PATH@";
  53 use lib "@RT_LIB_PATH@";
  54
  55 use RT;
  56 RT::LoadConfig;
  57 RT::Init;
  58
  59 $| = 1;
  60
  61 use Getopt::Long;
  62 use Digest::SHA;
  63 my $fix;
  64 GetOptions("fix!" => \$fix);
  65
  66 use RT::Users;
  67 my $users = RT::Users->new( $RT::SystemUser );
  68 $users->Limit(
  69     FIELD => 'Password',
  70     OPERATOR => 'IS NOT',
  71     VALUE => 'NULL',
  72     ENTRYAGGREGATOR => 'AND',
  73 );
  74 $users->Limit(
  75     FIELD => 'Password',
  76     OPERATOR => '!=',
  77     VALUE => '*NO-PASSWORD*',
  78     ENTRYAGGREGATOR => 'AND',
  79 );
  80 $users->Limit(
  81     FIELD => 'Password',
  82     OPERATOR => 'NOT STARTSWITH',
  83     VALUE => '!',
  84     ENTRYAGGREGATOR => 'AND',
  85 );
  86 push @{$users->{'restrictions'}{ "main.Password" }}, "AND", {
  87     field => 'LENGTH(main.Password)',
  88     op => '<',
  89     value => '40',
  90 };
  91
  92 # we want to update passwords on disabled users
  93 $users->{'find_disabled_rows'} = 1;
  94
  95 my $count = $users->Count;
  96 if ($count == 0) {
  97     print "No users with unsalted or weak cryptography found.\n";
  98     exit 0;
  99 }
 100
 101 if ($fix) {
 102     print "Upgrading $count users...\n";
 103     while (my $u = $users->Next) {
 104         my $stored = $u->__Value("Password");
 105         my $raw;
 106         if (length $stored == 32) {
 107             $raw = pack("H*",$stored);
 108         } elsif (length $stored == 22) {
 109             $raw = MIME::Base64::decode_base64($stored);
 110         } elsif (length $stored == 13) {
 111             printf "%20s => Old crypt() format, cannot upgrade\n", $u->Name;
 112         } else {
 113             printf "%20s => Unknown password format!\n", $u->Name;
 114         }
 115         next unless $raw;
 116
 117         my $salt = pack("C4",map{int rand(256)} 1..4);
 118         my $sha = Digest::SHA::sha256(
 119             $salt . $raw
 120         );
 121         $u->_Set(
 122             Field => "Password",
 123             Value => MIME::Base64::encode_base64(
 124                 $salt . substr($sha,0,26), ""),
 125         );
 126     }
 127     print "Done.\n";
 128     exit 0;
 129 } else {
 130     if ($count < 20) {
 131         print "$count users found with unsalted or weak-cryptography passwords:\n";
 132         print "      Id | Name\n", "-"x9, "+", "-"x9, "\n";
 133         while (my $u = $users->Next) {
 134             printf "%8d | %s\n", $u->Id, $u->Name;
 135         }
 136     } else {
 137         print "$count users found with unsalted or weak-cryptography passwords\n";
 138     }
 139
 140     print "\n", "Run again with --fix to upgrade.\n";
 141     exit 1;
 142 }