IMPORTANT- Possibilité d'intrusion par /admin/toolbar/images_popup.php

Version stable courante
téléchargement osCSS 1.2.2 RC

Messagepar goodchip » Jeu 10 Juin 2010, 13:23

Bonjour,

notre site viens de se faire hacker vendredi dernier (pas trop méchant, installation d'une backdoor et modif du .htaccess de la racine pour faire une redirection vers un site de hackers russe / tchèque, MAIS ils avaient les moyens de faire plus méchant (accès aux passwords mysql, droit d'écriture et suppression des fichiers, etc.)

Il sont passés par la faille connue du fichier /admin/toolbar/images_popup.php (pas de gestion des sessions sur ce fichier) pour uploader un script dans /images/ puis l'executer...

Référence : http://dev.oscss.org/index.php?do=details&task_id=140&tasks=&project=1&due=16

C'est très (très) facile à faire.

Je vous conseille à tous d'intégrer une gestion de l'authenfication par sessions sur ce fichier, mis en place d'un .htpasswd dans /admin/ et/ou modification des noms de fichiers pour éviter un appel direct.

Une mise en garde en épinglé ou page d'accueil pourrait-être souhaitable car je le répète la vulnérabilité est énorme et les conséquences peuvent être désastreuse si on a à faire à des crackers et non des hackers...
Dernière édition par goodchip le Jeu 10 Juin 2010, 13:24, édité 1 fois.
goodchip
Membre inactif
 
Messages: 6
Inscription: Sam 17 Mai 2008, 20:12

Messagepar oscim » Jeu 10 Juin 2010, 14:01

Bonjour,

Cette faille a été signlialé il y a plusieurs mois :(.

Pour securiser l'install , en gros if suffit d'inclure le fichier application top dans le fichier de a toobar. cf les commentaire de trac.



Voir aussi http://www.oscss.org/forums/viewtopic.php?id=1596
http://www.oscss.org/forums/viewtopic.php?id=1510

Cette faille a été traité dans oscss2, mais pour les oscss1, aucun patch ,'as été fait :( . Manque de temps

Personne pour preparer un patch ? avec version propre ?
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Messagepar oscim » Jeu 10 Juin 2010, 14:49

Pour info

Voila les correction a apporter

Remplacer le fichier images-popup.php de la toobar par celui ci
https://sourceforge.net/apps/trac/oscss ... -popup.php

Remplacer el application top par celui-ci
https://sourceforge.net/apps/trac/oscss ... on_top.php

et le filename par celui la
https://sourceforge.net/apps/trac/oscss ... enames.php

PS: j'ai re-packager la 1.2.2, en 1.2.2Rc a
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Messagepar steph68 » Jeu 10 Juin 2010, 15:35

salut,

il y a une vague de "hacking" en ce moment :D
j'ai 3 sites qui se sont faient hackés samedi matin. (un a réussi avec dump de la base de données et les 2 autres ont échoués)

le procédé :

* upload d'une image qui est un script php déguisé en JPEG
* de là, ils peuvent uploader un shell (c99 dans mon cas) dans le répertoire img -> img/evil.php
* à partir de là, ils peuvent tout faire ... :(

remède : (radical)

changer le nom du dossier 'admin', mettre un '.htaccess' qui nécessite une authentification HTTP (mod-auth de apache)
virer tous le système de login de oscss ...

au moins je suis sûr que tous les répertoires derrière le dossier admin sont protégés.

@+
steph68
Membre actif
 
Messages: 17
Inscription: Sam 01 Aoû 2009, 12:25

Messagepar oscim » Jeu 10 Juin 2010, 15:50

Enfin, cela dis, pour le nom du rep admin, c'est un peu une base :(

En fait, c'est pour ca que le nom du rep d'admin dans oscss2, lors de l'installation et deplacer aleatoirement
Pour un web au normes du W3C, pour un web plus propre !

- Download osCSS Toutes versions
- stable osCSS 2.1.0 (help|info|new dev) Official help|wiki|Tuto for osCSS 2 | doc doxygen
- Utiliser le tracker pour suivre les évolutions et développements
- Inscrivez vos sites sur oscss pour présenter vos réalisations
Avatar de l’utilisateur
oscim
Site Admin
 
Messages: 1643
Inscription: Mar 25 Sep 2007, 11:33

Messagepar steph68 » Jeu 10 Juin 2010, 15:58

Enfin, cela dis, pour le nom du rep admin, c'est un peu une base

je sais bien ... mais bon, il y a un systeme de login, non ?
c'est vrai que j'ai un peu négligé cette partie là à l'époque ...

En fait, c'est pour ca que le nom du rep d'admin dans oscss2, lors de l'installation et deplacer aleatoirement

c'est une bonne chose ...
steph68
Membre actif
 
Messages: 17
Inscription: Sam 01 Aoû 2009, 12:25


Retourner vers osCSS 1.2.2 RC

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron