Faille de sécurité | actes/install 3.2.4 | Fuite de configuration phpinfo() | Execution PHP à distance sans authentification
142 views
Skip to first unread message
Paul-Axel Marie
Sep 8, 2022, 2:09:11 PM9/8/22
to Expoactes
Bonjour,
Cette notice pour informer les utilisateurs/administrateurs serveur de expoactes de supprimer le répertoire install, ou d'y mettre un .htaccess deny all pour la version 3.2.4
Pareillement /tools est un dossier exposé publiquement qui permet d'exécuté du code PHP à distance sans être authentifié.
Le répertoire /actes/install est accessible publiquement.
Ce qui permet à tous les utilisateurs d'internet d'obtenir la configuration serveur de tous les sites expoactes qui ont laissé le dossier "install" via phpinfo(), on peut obtenir les paramétrages et versions. Type de machine host, linux, type de système d'exploitation, ou même l'hébergeur, ainsi que les configurations de sécurité de php, les options php, etc.
Tout cela exposé publiquement sur les 109 sites référencé sur la page d'agrégation.
https://expocartes.monrezo.be/agregactes.php par exemple. Cette faille est valable pour l'ensemble des sites expoactes en ligne vis à vis de mes vérifications. Les utilisateurs/administrateurs ne vérifient pas la sécurité du code php / dossier qu'il mettent en ligne via expoactes.
Exemple de la faille sur un serveur référencé sur le site d'expoactes:
https://www.genedinant.be/actes/install/p_info.php
Informe sur leur serveur Ubuntu, version du kernel, qu'il utilisent PHP5.5.9 qui comporte donc des faille de sécurité connues et exploitables, c'est à dire qu'on peut facilement rentré et récupéré les emails, les mots de passes, et l'ensemble des données serveurs, via des exploit php5.
Au sein du dossier install peuvent se trouver d'autres failles php que celle du p_info.php
On pourrait faire des injections de querystring via les urls HTTP GET pour exécuter du code PHP arbitrairement sur un ou plusieurs des fichiers d'installation. Je n'ai pas plus creusé de ce côté là.
Certain serveurs utilisateurs permettent aussi de naviguer l'arborescence de fichier du répertoire <nom du site>/install/
Pareillement pour l'arborescence <nom du site>/tools/
Qui est exposé publiquement.
On peut par exemple crée des fichiers à l'infini sur le serveur distant et saturer l'espace disque en exécutant <nom du site>/tools/testfile.php en boucle.
On peut aussi exécuter les autres includes sensé être réservé à l'usage interne du serveur et perturbé le fonctionnement normal du site, ou trouver d'autres failles car cela expose et élargit la surface d'attaque possible.
Je n'ai pas fais une analyse complète en terme de sécurité de la solution expoactes.
Les informations si dessus sont partielle et représente une partie des failles de sécurité existantes, il y en a certainement d'autres, en vue de la structure du code, malheureusement.
Bien à vous,
Cette notice pour informer les utilisateurs/administrateurs serveur de expoactes de supprimer le répertoire install, ou d'y mettre un .htaccess deny all pour la version 3.2.4
Pareillement /tools est un dossier exposé publiquement qui permet d'exécuté du code PHP à distance sans être authentifié.
Le répertoire /actes/install est accessible publiquement.
Ce qui permet à tous les utilisateurs d'internet d'obtenir la configuration serveur de tous les sites expoactes qui ont laissé le dossier "install" via phpinfo(), on peut obtenir les paramétrages et versions. Type de machine host, linux, type de système d'exploitation, ou même l'hébergeur, ainsi que les configurations de sécurité de php, les options php, etc.
Tout cela exposé publiquement sur les 109 sites référencé sur la page d'agrégation.
https://expocartes.monrezo.be/agregactes.php par exemple. Cette faille est valable pour l'ensemble des sites expoactes en ligne vis à vis de mes vérifications. Les utilisateurs/administrateurs ne vérifient pas la sécurité du code php / dossier qu'il mettent en ligne via expoactes.
Exemple de la faille sur un serveur référencé sur le site d'expoactes:
https://www.genedinant.be/actes/install/p_info.php
Informe sur leur serveur Ubuntu, version du kernel, qu'il utilisent PHP5.5.9 qui comporte donc des faille de sécurité connues et exploitables, c'est à dire qu'on peut facilement rentré et récupéré les emails, les mots de passes, et l'ensemble des données serveurs, via des exploit php5.
Au sein du dossier install peuvent se trouver d'autres failles php que celle du p_info.php
On pourrait faire des injections de querystring via les urls HTTP GET pour exécuter du code PHP arbitrairement sur un ou plusieurs des fichiers d'installation. Je n'ai pas plus creusé de ce côté là.
Certain serveurs utilisateurs permettent aussi de naviguer l'arborescence de fichier du répertoire <nom du site>/install/
Pareillement pour l'arborescence <nom du site>/tools/
Qui est exposé publiquement.
On peut par exemple crée des fichiers à l'infini sur le serveur distant et saturer l'espace disque en exécutant <nom du site>/tools/testfile.php en boucle.
On peut aussi exécuter les autres includes sensé être réservé à l'usage interne du serveur et perturbé le fonctionnement normal du site, ou trouver d'autres failles car cela expose et élargit la surface d'attaque possible.
Je n'ai pas fais une analyse complète en terme de sécurité de la solution expoactes.
Les informations si dessus sont partielle et représente une partie des failles de sécurité existantes, il y en a certainement d'autres, en vue de la structure du code, malheureusement.
Bien à vous,
Lou Trepoun
Sep 20, 2022, 12:28:04 PM9/20/22
to Expoactes
Les anciens utilisateurs savent depuis longtemps qu'une fois le logiciel installé, il faut renommer le dossier ../install/ ou le supprimer.
ça fait partie des marronniers.
--
Sandy-Pascal Andriant
Président et webmestre
essaillon-sederon.net
Reply all
Reply to author
Forward
0 new messages