Le serveur de la Free Software Foundation attaqué
Par injections SQL, des identifiants et des mots de passe utilisateurs ont été volés
Le 2010-12-02 17:22:06, par Hinault Romaric, Responsable .NET
Le serveur hébergeant le site Gnu.org de la Free Software Foundation a été attaqué.
Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.
Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.
Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.
Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.
La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.
On ne sait toujours pas qui en est à l'origine.
Source : Blog de la Free Software Foundation
Et vous ?
Qui peut être d'après vous à l'origine de cette attaque ?
Vous parait-il possible que ces attaques contre deux grands organismes de l'open source soient liées ?
En collaboration avec Gordon Fowler
Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
Selon la FSF, les pirates ont lancé une attaque de leur serveur le 24 novembre 2010 en utilisant des injections SQL pour télécharger sa base de données.
Les attaquants ont également trouvé un répertoire avec un accès en écriture. Ils ont ensuite essayé plusieurs scripts sur le serveur. Mais la FSF estime que ceux-ci n'ont pas pu avoir accès à la racine du site.
Par mesure de précaution, les administrateurs du serveur Savannah ont du revenir sur toutes les modifications du contenu du serveur depuis le 23 novembre, une journée avant la première attaque.
Matt Lee, directeur de Free Software Foundation, a déclaré que les projets actuels liés au développement de logiciels open source ne sont pas affectés.
La Free Software Foundation n'est pas la seule organisation open-source à avoir été touchée. Il y a de cela quelque mois, les serveurs de la fondation apache ont également été victime des attaques.
On ne sait toujours pas qui en est à l'origine.
Source : Blog de la Free Software Foundation
Et vous ?
En collaboration avec Gordon Fowler
-
kedareMembre chevronnéTu n'imagine même pas le nombre de sites qui ont cette faille....
(Bizarrement 90% du temps en PHP....) le 02/12/2010 à 18:50 -
olivier69Membre du ClubBen non, rien à voir avec PHP, mais je pense qu'il veut dire que bcp de développeurs PHP ont de mauvaises habitudes, peut être lié à la "souplesse" de PHP (typage, POO récente...).
Bref, c'est mal de laisser des trous comme ça, surtout que c'est pas des gamins qui affichent leur 1er Hello World.le 02/12/2010 à 20:40 -
olivier69Membre du ClubJe sais, mais quand même, pas eux...
Ce serait la Hadopi, personne ne serait surpris et ça ferait rire tout le monde, mais là c'est un comble !
Effectivement, comment veux tu être pris au sérieux après... Les éditeurs de logiciels propriétaires doivent bien rire là !
Encore que je leur conseillerai de balayer devant leur porte, parce que je suis sur qu'en fouinant un peu, on devrait y trouver le même genre de casserolesle 02/12/2010 à 18:53 -
alexrtzMembre expérimentéle 03/12/2010 à 12:49
-
kaymakMembre éméritehello,
si tu avais pris le temps de lire mon post, et d'aller jeter un oeil au code source de l’application, en l’occurrence savane, exploitée par se site, nongnu.savannah.org et d'autres.
Tu aurais pu y lire les derniers commits effectués concernant d’éventuelles injections sql.
Tu aurais pu y lire que ce qui est en cause, en prenant le changelog à disposition, que ce n'est pas le langage comme cité plus haut, ni les outils employés, probablement du lamp ou équivalent, mais le code produit et exploité par les développeurs qui est en cause.
Car, mais il fallait aller le lire, il manquait surtout des appels à quelques fonctions existantes pour protéger les chaines en entrer avant de les envoyer au serveur de bdd.
Donc bon, il ne faut pas tout confondre, et ici l'erreur n'à rien à voir avec le sous système,
mais
- les choix de développement,
- la qualité des tests qui y sont appliqués pour le contrôler et le vérifier.
fin bref.
a +le 03/12/2010 à 16:40 -
HellwingMembre chevronné*sort sa cape de Super-Défenseur-de-Posteurs-Incompris*
Mais ça Louis le sait, on l'a même dit plus haut, que c'est une erreur côté développeur et pas technologie utilisée. Il n'a jamais insinué que c'était un problème de sous-système.
Ce qu'il essaye de dire (du moins je pense) c'est que d'après la news un serveur hébergeant des sources a été "corrompu", à savoir :Des pirates inconnus ont pu obtenir l'accès au système, changer l'emplacement de certains dépôts et télécharger la base de données contenant les noms des utilisateurs et leurs mots de passe chiffrés.
En interprétant tout ça, on serait en droit de se demander si les dépôts de sources sont si sûrs qu'on nous le dit. Ca ne veut pas dire qu'ils ne sont pas sécurisés mais juste que cet incident, aussi exceptionnel soit-il, amène la question de manière légitime.le 03/12/2010 à 17:06 -
FlaburganModérateurNon, ils ont surtout discréditer le site, et ils ont des données utilisateurs.le 03/12/2010 à 9:53
-
Jbx 2.0bMembre chevronnéNon pas du libre, des données personnelles.le 03/12/2010 à 10:01
-
guidavMembre éprouvéLe but à terme est peut-être aussi de modifier le contenu de certains dépôts. Vous imaginez l'impact d'un sniffer ajouté dans le code d'un soft libre super populaire, modifié directement dans le dépôt officiel ? Et hop, un botnet de serveurs ! Et sur des machines a priori dignes de confiance, en plus.le 03/12/2010 à 10:44
-
alexrtzMembre expérimentéPartir du principe qu'ils sont malsains fait une comparaison avec les sauvegardes des dépôts sur les x derniers jours/mois/années/siècles/millénaires.
Et t'en a qui, à tous les coins de sujets traitant de Windows, vont inlassablement répéter que Windows c'est trop bien (comme si on avait pas fini par le comprendre à force) et qui, à tous les coins de sujets traitant du libre, vont reposer encore et encore les mêmes questions "juste pour s'interroger", même quand des réponses à ces questions ont déjà été données.le 03/12/2010 à 14:08