
<div dir="ltr">The war has begun ^^<br><div class="gmail_extra"><div><div class="m_3934280873381517312gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:12.727272033691406px;background-color:rgb(255,255,255)"><div><br></div></div></div></div></div></div>

<br><div class="gmail_quote">2018-04-23 16:07 GMT+02:00 Błażej Pabiszczak <span dir="ltr"><<a href="mailto:b.pabiszczak@yetiforce.com" target="_blank">b.pabiszczak@yetiforce.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="font-size:10pt;font-family:Verdana,Geneva,sans-serif">

<p>@Prasad</p>

<p>Who is all this marketing spam for? Security, safety, and data privacy aren’t your priorities. If that were the case you’d have a different approach for all these years. If we cared about publicity we’d post all these errors to CVE and LinkedIn, in large groups that have 100k-200k members, like the Open Source group. For now we just want to embarrass you, so that you get stuff done.</p>

<p>The majority of the errors that we’re going to publish will be sent to you earlier [what email address should we send it to?] so you have some time to fix them; depending on the type of an error it will be 7,14, or 21 days. If you don’t fix them [like coreBOS does] then we’ll stop reporting them to you and you will find out about them on the day we publish the articles.</p>

<p>Please don’t try to convince people that this system is safe because it isn’t. You’re not in touch with any security consultants; if you are you should change them. You’ve never had a decent security audit, and even if there was any it must’ve been short and a very long time ago.</p>

<p>I’ll tell you how things are right now:</p>

<ol>

<li>You don’t follow any standards as far as creating software is concerned, eg. PSR</li>

<li>You don’t analyze the code statically improving it according to current standards, eg.: <a href="https://insight.sensiolabs.com/," rel="noreferrer" target="_blank">https://insight.sensiolab<wbr>s.com/,</a><span> </span><a href="https://scrutinizer-ci.com/," rel="noreferrer" target="_blank">https://scrutinizer-<wbr>ci.com/,</a><span> </span><a href="https://sonarwhal.com/" rel="noreferrer" target="_blank">https://sonarwhal.com</a><span><wbr> </span></li>

<li>You have no unit/automatic tests.</li>

<li>You don’t follow OWASP ASVS guidelines</li>

<li>You don’t fix errors, you suppress them instead, and compatibility with the latest PHP versions is done with as little effort as possible.</li>

<li>You don’t know what libraries you use, many of them have security errors. It took us several months to clean up and update libraries, how long will it take you?</li>

<li>You don’t know under what license your libraries are, you still use GPL/AGPL in your system.</li>

</ol>

<p>And what does the security look like? It’s terrible, believe me. Please provoke me [block me here for example] or keep saying that the system is safe, then I’ll do what I don’t have time to do; I’ll write a few dozen articles, each with critical security vulnerabilities. Please tell your community:</p>

<ol>

<li>When are you going to update libraries to the latest versions? The’re full of holes! Eg.: jQuery 2.1.1 [CVE-2015-9251, CVE-2016-10707].</li>

<li>When are you going to move key files away from public_html?</li>

<li>When are you going to start checking permissions to each module, action, record; instead of what you do now, which is creating dozens of weird exceptions that lower the security level?</li>

<li>When are you going to properly [and centrally] check/clean data sent in request [especially when it comes to HTML files]</li>

<li>When are you going to verify security and quality of the addons in  <a href="https://marketplace.vtiger.com/app/listings" rel="noreferrer" target="_blank">https://marketplace.vtiger.co<wbr>m/app/listings</a><span><span> </span>because the products available there aren’t under any control.</span></li>

<li>When are you going to present the results of security audits performed by a reputable company that specializes in web applications?</li>

</ol>

<p>Every week we’ll publish 1-2 articles related to coreBOS/Vtiger/VTE/SuiteCRM/EP<wbr>ESI, I hope you change your approach and start improving the core of your system.</p>

<div>---<br>

<p>Z poważaniem / Regards</p>

<div>

<div><strong>Błażej Pabiszczak</strong></div>

<div>M: +48.884999123<br>E: <a title="Mail do Błażej Pabiszczak" href="mailto:b.pabiszczak@yetiforce.com" rel="noreferrer" target="_blank">b.pabiszczak@yetiforce.com</a></div>

</div>

</div><div><div class="m_3934280873381517312h5">

<p><br></p>

<p>W dniu 2018-04-20 13:44, Prasad napisał(a):</p>

</div></div><blockquote type="cite" style="padding:0 0.4em;border-left:#1010ff 2px solid;margin:0"><div><div class="m_3934280873381517312h5">

<div dir="ltr">

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I hope you are following issue tracker as well.</div>

</div>

<div class="gmail_extra"><br clear="all">

<div>

<div class="m_3934280873381517312m_1908829432219164807gmail_signature">

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">--</div>

<div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a style="color:#0000cc" href="http://www.facebook.com/vtiger" target="_blank">FB</a> I </span><a style="color:#0000cc" href="http://twitter.com/vtigercrm" target="_blank">Twit</a> I <a style="color:#0000cc" href="https://www.linkedin.com/company/1270573?trk=tyah" target="_blank">LIn</a> I <a style="color:#0000cc" href="https://blogs.vtiger.com" target="_blank">Blog</a> I <a style="color:#0000cc" href="https://www.vtiger.com/" target="_blank">Websi<wbr>te</a></div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<br>

<div class="gmail_quote">On Fri, Apr 20, 2018 at 5:11 PM, socialboostdk <span><<a href="mailto:socialboostdk@gmail.com" target="_blank">socialboostdk@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div dir="ltr">+1

<div> </div>

<div>Also avoid using users email to hash passwords. Its crap + means that you cannot change email without also changing password...</div>

</div>

<div class="gmail_extra"><br>

<div class="gmail_quote">

<div>

<div class="m_3934280873381517312m_1908829432219164807h5">On 20 April 2018 at 13:31, Conrado Maggi <span><<a href="mailto:comaggi@gmail.com" target="_blank">comaggi@gmail.com</a>></span> wrote:</div>

</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_3934280873381517312m_1908829432219164807h5">

<div dir="ltr">Basically, Not doing this: <a style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px" href="https://unsecure.blog/en/114-vtigercrm-storing-passwords-in-md5.html" target="_blank">https://unsecure.blog/en<wbr>/114-vtigercrm-storing-passwor<wbr>ds-in-md5.html</a><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px"> </span>

<div><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px"> </span></div>

<div><span style="font-family:Verdana,Geneva,sans-serif;font-size:13.333333015441895px">Conrado</span></div>

</div>

<div class="gmail_extra"><br>

<div class="gmail_quote">

<div>

<div class="m_3934280873381517312m_1908829432219164807m_5439000999589711979h5">On Fri, Apr 20, 2018 at 12:22 PM, Prasad <span><<a href="mailto:prasad@vtiger.com" target="_blank">prasad@vtiger.com</a>></span> wrote:</div>

</div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_3934280873381517312m_1908829432219164807m_5439000999589711979h5">

<div dir="ltr">

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Thank you for the references. We are in touch with few wise security advisories as well.</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">The intent behind the post was to raise the awareness of quality of information that need to be exchanged</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">when understanding the security issue.</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Regards,</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif">Prasad</div>

<div class="gmail_default" style="font-family:arial,helvetica,sans-serif"> </div>

</div>

<div class="gmail_extra"><br clear="all">

<div>

<div class="m_3934280873381517312m_1908829432219164807m_5439000999589711979m_7948517322867671089m_-2987375863098724244gmail_signature">

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">

<div>

<div dir="ltr">--</div>

<div dir="ltr"><span style="border-collapse:collapse;font-family:arial,sans-serif;font-size:13px"><a style="color:#0000cc" href="http://www.facebook.com/vtiger" target="_blank">FB</a> I </span><a style="color:#0000cc" href="http://twitter.com/vtigercrm" target="_blank">Twit</a> I <a style="color:#0000cc" href="https://www.linkedin.com/company/1270573?trk=tyah" target="_blank">LIn</a> I <a style="color:#0000cc" href="https://blogs.vtiger.com" target="_blank">Blog</a> I <a style="color:#0000cc" href="https://www.vtiger.com/" target="_blank">Websi<wbr>te</a></div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

</div>

<div>

<div class="m_3934280873381517312m_1908829432219164807m_5439000999589711979m_7948517322867671089h5"><br>

<div class="gmail_quote">On Fri, Apr 20, 2018 at 3:20 PM, IT-Solutions4You <span><<a href="mailto:info@its4you.sk" target="_blank">info@its4you.sk</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I found this interesting project<br> <a href="https://hacktrophy.com/en/price-ethical-hacking/" target="_blank">https://hacktrophy.com/en/pric<wbr>e-ethical-hacking/</a><br> <br> I think to contact them for scanning vtiger. Maybe you(vtiger) can cooperate, basically it's your software ;-)<br> <br> Matus<br> <br> Dňa 20. 4. 2018 o 10:54 Prasad napísal(a):<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>

<div class="m_3934280873381517312m_1908829432219164807m_5439000999589711979m_7948517322867671089m_-2987375863098724244h5">Dear members,<br> <br> Security and Data-Privacy is our top priority.<br> <br> Without providing much details citing security concern on public channels is more like whistleblowing, which does no good but creates suspicion in those who aren't full aware of the details.<br> <br> If you are aware of a security risk or suspect a possible hole that<br> can give attacker ability to gain customer data, please feel to reach to us<br> with complete details or file the issue on our tracker to keep our community informed.<br> <br> Regards,<br> Prasad<br> <br> </div>

</div>

______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a><br> </blockquote>

<br> <br> ______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></blockquote>

</div>

</div>

</div>

</div>

</div>

</div>

______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></blockquote>

</div>

</div>

</div>

</div>

______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></blockquote>

</div>

</div>

<br>______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></blockquote>

</div>

</div>

<br>

</div></div><div class="m_3934280873381517312m_1908829432219164807pre" style="margin:0;padding:0;font-family:monospace">______________________________<wbr>_________________<br> <a href="http://www.vtiger.com/" target="_blank">http://www.vtiger.com/</a></div>

</blockquote>

</div>

<br>______________________________<wbr>_________________<br>

<a href="http://www.vtiger.com/" rel="noreferrer" target="_blank">http://www.vtiger.com/</a><br></blockquote></div><br></div></div>