Upgrade to 4.2.8
[usit-rt.git] / etc / upgrade / vulnerable-passwords
1 #!/usr/bin/perl
2 # BEGIN BPS TAGGED BLOCK {{{
3 #
4 # COPYRIGHT:
5 #
6 # This software is Copyright (c) 1996-2014 Best Practical Solutions, LLC
7 #                                          <sales@bestpractical.com>
8 #
9 # (Except where explicitly superseded by other copyright notices)
10 #
11 #
12 # LICENSE:
13 #
14 # This work is made available to you under the terms of Version 2 of
15 # the GNU General Public License. A copy of that license should have
16 # been provided with this software, but in any event can be snarfed
17 # from www.gnu.org.
18 #
19 # This work is distributed in the hope that it will be useful, but
20 # WITHOUT ANY WARRANTY; without even the implied warranty of
21 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
22 # General Public License for more details.
23 #
24 # You should have received a copy of the GNU General Public License
25 # along with this program; if not, write to the Free Software
26 # Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
27 # 02110-1301 or visit their web page on the internet at
28 # http://www.gnu.org/licenses/old-licenses/gpl-2.0.html.
29 #
30 #
31 # CONTRIBUTION SUBMISSION POLICY:
32 #
33 # (The following paragraph is not intended to limit the rights granted
34 # to you to modify and distribute this software under the terms of
35 # the GNU General Public License and is only of importance to you if
36 # you choose to contribute your changes and enhancements to the
37 # community by submitting them to Best Practical Solutions, LLC.)
38 #
39 # By intentionally submitting any modifications, corrections or
40 # derivatives to this work, or any other work intended for use with
41 # Request Tracker, to Best Practical Solutions, LLC, you confirm that
42 # you are the copyright holder for those contributions and you grant
43 # Best Practical Solutions,  LLC a nonexclusive, worldwide, irrevocable,
44 # royalty-free, perpetual, license to use, copy, create derivative
45 # works based on those contributions, and sublicense and distribute
46 # those contributions and any derivatives thereof.
47 #
48 # END BPS TAGGED BLOCK }}}
49 use strict;
50 use warnings;
51
52 use lib "local/lib";
53 use lib "lib";
54
55 use RT;
56 RT::LoadConfig;
57 RT::Init;
58
59 $| = 1;
60
61 use Getopt::Long;
62 use Digest::SHA;
63 my $fix;
64 GetOptions("fix!" => \$fix);
65
66 use RT::Users;
67 my $users = RT::Users->new( $RT::SystemUser );
68 $users->Limit(
69     FIELD => 'Password',
70     OPERATOR => 'IS NOT',
71     VALUE => 'NULL',
72     ENTRYAGGREGATOR => 'AND',
73 );
74 $users->Limit(
75     FIELD => 'Password',
76     OPERATOR => '!=',
77     VALUE => '*NO-PASSWORD*',
78     ENTRYAGGREGATOR => 'AND',
79 );
80 $users->Limit(
81     FIELD => 'Password',
82     OPERATOR => 'NOT STARTSWITH',
83     VALUE => '!',
84     ENTRYAGGREGATOR => 'AND',
85 );
86 push @{$users->{'restrictions'}{ "main.Password" }}, "AND", {
87     field => 'LENGTH(main.Password)',
88     op => '<',
89     value => '40',
90 };
91
92 # we want to update passwords on disabled users
93 $users->{'find_disabled_rows'} = 1;
94
95 my $count = $users->Count;
96 if ($count == 0) {
97     print "No users with unsalted or weak cryptography found.\n";
98     exit 0;
99 }
100
101 if ($fix) {
102     print "Upgrading $count users...\n";
103     while (my $u = $users->Next) {
104         my $stored = $u->__Value("Password");
105         my $raw;
106         if (length $stored == 32) {
107             $raw = pack("H*",$stored);
108         } elsif (length $stored == 22) {
109             $raw = MIME::Base64::decode_base64($stored);
110         } elsif (length $stored == 13) {
111             printf "%20s => Old crypt() format, cannot upgrade\n", $u->Name;
112         } else {
113             printf "%20s => Unknown password format!\n", $u->Name;
114         }
115         next unless $raw;
116
117         my $salt = pack("C4",map{int rand(256)} 1..4);
118         my $sha = Digest::SHA::sha256(
119             $salt . $raw
120         );
121         $u->_Set(
122             Field => "Password",
123             Value => MIME::Base64::encode_base64(
124                 $salt . substr($sha,0,26), ""),
125         );
126     }
127     print "Done.\n";
128     exit 0;
129 } else {
130     if ($count < 20) {
131         print "$count users found with unsalted or weak-cryptography passwords:\n";
132         print "      Id | Name\n", "-"x9, "+", "-"x9, "\n";
133         while (my $u = $users->Next) {
134             printf "%8d | %s\n", $u->Id, $u->Name;
135         }
136     } else {
137         print "$count users found with unsalted or weak-cryptography passwords\n";
138     }
139
140     print "\n", "Run again with --fix to upgrade.\n";
141     exit 1;
142 }