rt/etc/upgrade/vulnerable-passwords

   1 #!/usr/bin/perl
   2 # BEGIN BPS TAGGED BLOCK {{{
   3 #
   4 # COPYRIGHT:
   5 #
   6 # This software is Copyright (c) 1996-2012 Best Practical Solutions, LLC
   7 #                                          <sales@bestpractical.com>
   8 #
   9 # (Except where explicitly superseded by other copyright notices)
  10 #
  11 #
  12 # LICENSE:
  13 #
  14 # This work is made available to you under the terms of Version 2 of
  15 # the GNU General Public License. A copy of that license should have
  16 # been provided with this software, but in any event can be snarfed
  17 # from www.gnu.org.
  18 #
  19 # This work is distributed in the hope that it will be useful, but
  20 # WITHOUT ANY WARRANTY; without even the implied warranty of
  21 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  22 # General Public License for more details.
  23 #
  24 # You should have received a copy of the GNU General Public License
  25 # along with this program; if not, write to the Free Software
  26 # Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  27 # 02110-1301 or visit their web page on the internet at
  28 # http://www.gnu.org/licenses/old-licenses/gpl-2.0.html.
  29 #
  30 #
  31 # CONTRIBUTION SUBMISSION POLICY:
  32 #
  33 # (The following paragraph is not intended to limit the rights granted
  34 # to you to modify and distribute this software under the terms of
  35 # the GNU General Public License and is only of importance to you if
  36 # you choose to contribute your changes and enhancements to the
  37 # community by submitting them to Best Practical Solutions, LLC.)
  38 #
  39 # By intentionally submitting any modifications, corrections or
  40 # derivatives to this work, or any other work intended for use with
  41 # Request Tracker, to Best Practical Solutions, LLC, you confirm that
  42 # you are the copyright holder for those contributions and you grant
  43 # Best Practical Solutions,  LLC a nonexclusive, worldwide, irrevocable,
  44 # royalty-free, perpetual, license to use, copy, create derivative
  45 # works based on those contributions, and sublicense and distribute
  46 # those contributions and any derivatives thereof.
  47 #
  48 # END BPS TAGGED BLOCK }}}
  49 use strict;
  50 use warnings;
  51
  52 use lib "/opt/rt3/local/lib";
  53 use lib "/opt/rt3/lib";
  54
  55 use RT;
  56 RT::LoadConfig;
  57 RT::Init;
  58
  59 $| = 1;
  60
  61 use Getopt::Long;
  62 use Digest::SHA;
  63 my $fix;
  64 GetOptions("fix!" => \$fix);
  65
  66 use RT::Users;
  67 my $users = RT::Users->new( $RT::SystemUser );
  68 $users->Limit(
  69     FIELD => 'Password',
  70     OPERATOR => 'IS NOT',
  71     VALUE => 'NULL',
  72     ENTRYAGGREGATOR => 'AND',
  73 );
  74 $users->Limit(
  75     FIELD => 'Password',
  76     OPERATOR => '!=',
  77     VALUE => '*NO-PASSWORD*',
  78     ENTRYAGGREGATOR => 'AND',
  79 );
  80 $users->Limit(
  81     FIELD => 'Password',
  82     OPERATOR => 'NOT STARTSWITH',
  83     VALUE => '!',
  84     ENTRYAGGREGATOR => 'AND',
  85 );
  86 push @{$users->{'restrictions'}{ "main.Password" }}, "AND", {
  87     field => 'LENGTH(main.Password)',
  88     op => '<',
  89     value => '40',
  90 };
  91
  92 my $count = $users->Count;
  93 if ($count == 0) {
  94     print "No users with unsalted or weak cryptography found.\n";
  95     exit 0;
  96 }
  97
  98 if ($fix) {
  99     print "Upgrading $count users...\n";
 100     while (my $u = $users->Next) {
 101         my $stored = $u->__Value("Password");
 102         my $raw;
 103         if (length $stored == 32) {
 104             $raw = pack("H*",$stored);
 105         } elsif (length $stored == 22) {
 106             $raw = MIME::Base64::decode_base64($stored);
 107         } elsif (length $stored == 13) {
 108             printf "%20s => Old crypt() format, cannot upgrade\n", $u->Name;
 109         } else {
 110             printf "%20s => Unknown password format!\n", $u->Name;
 111         }
 112         next unless $raw;
 113
 114         my $salt = pack("C4",map{int rand(256)} 1..4);
 115         my $sha = Digest::SHA::sha256(
 116             $salt . $raw
 117         );
 118         $u->_Set(
 119             Field => "Password",
 120             Value => MIME::Base64::encode_base64(
 121                 $salt . substr($sha,0,26), ""),
 122         );
 123     }
 124     print "Done.\n";
 125     exit 0;
 126 } else {
 127     if ($count < 20) {
 128         print "$count users found with unsalted or weak-cryptography passwords:\n";
 129         print "      Id | Name\n", "-"x9, "+", "-"x9, "\n";
 130         while (my $u = $users->Next) {
 131             printf "%8d | %s\n", $u->Id, $u->Name;
 132         }
 133     } else {
 134         print "$count users found with unsalted or weak-cryptography passwords\n";
 135     }
 136
 137     print "\n", "Run again with --fix to upgrade.\n";
 138     exit 1;
 139 }