bonjour,
je viens de recevoir un mail de CCM, et vous ?
Son contenu est interessant :
[quote]Lettre d’information de Comment ça marche? du 29 août 2006
Edito
Bonjour,
Vous avez été nombreux à recevoir hier une lettre d’information provenant de CommentCaMarche avec le contenu suivant :
[quote]Je ne suis ni admin, ni modo de CCM, juste un visiteur qui passait par là.
Je voulais signaler la découverte d’un bug de sécurité, qui m’a permis d’envoyer ce message.
Merci.
@+ L’envoyeur masqué[/quote].
Un individu a en effet réussi à se connecter à la page d’envoi de la newsletter, qui est normalement protégée par un mécanisme de contrôle d’accès (htaccess). Cette faille permettant l’accès à l’interface d’envoi de la lettre d’information a été corrigée dès ce matin, le paragraphe ci-dessous décrit comment l’envoyeur masqué a pu être démasqué et comment l’analyse des journaux des serveurs ont permis d’identifier la vulnérabilité.
Je profite également de cette lettre pour donner quelques informations sur l’actualité du site CommentCaMarche.net !
Failles de sécurité
Le site CommentCaMarche fonctionn e sur plusieurs serveurs web derrière un répartiteur de charge. La ligne protégeant l’accès à ce répertoire était malheureusement absente dans le fichier de configuration d’un de ces serveurs.
Pour le retrouver, il a suffit de chercher dans les journaux d’activité des serveurs toutes les adresses IP s’étant connecté sur cette page. Il y a eu deux adresses IP à se connecter à cette page hier dont une ayant réussi à entrer dans l’interface (car le serveur a également chargé les images pour cette page). Il a donc suffit de reprendre cette adresse IP et de refaire son parcours sur les pages du site pour trouver la porte d’entrée et par la même occasion renforcer la sécurité du site !
Il s’agit de la première intrusion réussie sur les serveurs de CommentCaMarche.net en 7 ans, preuve que nul est à l’abri. Par chance il s’agit d’une vulnérabilité mineure ne donnant accès à aucun mot de passe, ni à aucune donnée du serveur.
Le message de cet utilisateur étant plutôt sympatique, aucune plainte ne sera donc déposée auprès de son fournisseur d’accès (Wanadoo / Plessis Bouchard) ! A titre d’information, si vous découvrez des failles sur des sites web, il est préférable d’en avertir l’administrateur au risque sinon d’être poursuivi en justice.
Pour plus d’information sur la méthodologie des pirates et les mécanismes de sécurité :
Méthodologie d’une intrusion sur un réseau : secumet
Connaître les différents types d’attaques et s’en protéger efficacement : attaques
N’hésitez pas à participer à la discussion traitant de ce sujet sur le forum:decouverte d un bug de securite sur ccm[/quote]
ça vous évoque quoi ? déjà arrivé sur debian-fr.org ?