Alerte - Compromission du serveur "download" du projet PostNuke

K-OTik/ALRT-200428
 Version 1.0 (26/10/2004)


 Risque Moyen (2/4)

» Télécharger ce bulletin d'alerte

Par - Ce bulletin d'alerte a pour but d'informer les administrateurs et les utilisateurs d'un incident lié à la compromission du serveur officiel du projet PostNuke, ayant comme conséquence la diffusion d'une version "backdoorée" du CMS PostNuke.

Selon les premières investigations, le serveur downloads.postnuke.com aurait été compromis le dimanche 24 Octobre à 23:50 GMT. Le pirate a exploité une vulnérabilité présente dans "pafiledb" afin d'accéder au serveur, puis a remplacé l'archive "PostNuke-0.750.zip" par une version "backdoorée".

Une fois cette version non-officielle installée, un fichier malicieux [permettant l'exécution de commandes arbitraires via la variable system($oops)] sera copié sur le

serveur, suivi d'une transmission automatique de certaines informations au pirate (host, login/password de la base de données, login/password de l'administrateur PostNuke).

Nous recommandons aux administrateurs et aux utilisateurs ayant téléchargé puis installé "PostNuke-0.750.zip" entre le dimanche 24 Octobre à 23:50 GMT et le mardi 26 Octobre à 8:30 GMT de :

 - Supprimer le fichier /includes/pnAPI.php et le remplacer par l'original.
 - Changer les identifiants et mots de passe de la base de données
 - Vérifier les logs du serveur web et la base de données

Changelog :
26 Octobre 2004 (16h00) : Version Initiale

   
 

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits