Déjà au mois d’Avril, réseau dumac avait communiqué sur le fait que de nombreux sites réalisés à base du CMS Joomla avaient subi l’attaque de "pirates informatiques".
La popularité du système de gestion de contenu Joomla lui vaut d’être à nouveau, en ce mois d’Août 2007, la proie de nouvelles attaques s’étant soldées par des défaçages de sites utilisant le CMS. Les propriétaires des sites, outre le fait de voir leur pages remplacées par un manifeste politique, se sont vu supprimé leurs droits d’accès FTP.
C’est l’occasion de rappeler que les sytèmes de publication de contenu, qu’ils soient blogs ou CMS, ne doivent pas occulter le fait que s’ils sont gratuits et accessibles aux néophytes, leurs succès fait d’eux des cibles de choix pour des personnes désireuses de les détourner.
En conséquence de quoi : réfléchissez bien avant d’adopter une solution de gestion de contenus open source. Si vous faites réaliser votre site à base de CMS par un prestataire, pensez à vérifier qu’un suivi (veille -technologique donnant lieu à des mises à jour si besoin) est bien effectué, tout comme la sauvegarde régulière de -vos données en cas de problèmes...
Le CMS Spip a connu lui aussi ses propres déboires de sécurité et a proposé en 2006 un correctif en la version 1.8.g
Tous ces outils logiciels dont le code source est téléchargeable par le grand public sont la cible idéale pour les programmeurs désireux d’exploiter des failles de sécurité.
Quelques extraits de fichiers logs suite à des attaques :
[Tue Aug 14 13:25:19 2007] [error] mod_gzip : TRANSMIT_ERROR :ISMEM:104 error : ’kern.ostype’ is an unknown key [Tue Aug 14 13:26:20 2007] [error] [client 127.0.0.1] File does not exist : /usr/local/apache/htdocs/version.php chmod : getting attributes of `bds’ : Aucun fichier ou répertoire de ce type sh : ./tmp/bds : Aucun fichier ou répertoire de ce type error : ’kern.ostype’ is an unknown key [Tue Aug 14 13:27:31 2007] [error] [client 127.0.0.1] File does not exist : /usr/local/apache/htdocs/version.php chmod : getting attributes of `bds’ : Aucun fichier ou répertoire de ce type sh : ./tmp/bds : Aucun fichier ou répertoire de ce type [Tue Aug 14 13:27:35 2007] [error] [client 90.33.146.164] File does not exist : error : ’kern.ostype’ is an unknown key [Tue Aug 14 13:27:52 2007] [error] [client 127.0.0.1] File does not exist : /usr/local/apache/htdocs/version.php chmod : getting attributes of `bds’ : Aucun fichier ou répertoire de ce type sh : ./tmp/bds : Aucun fichier ou répertoire de ce type error : ’kern.ostype’ is an unknown key [Tue Aug 14 13:28:30 2007] [error] [client 127.0.0.1] File does not exist : /usr/local/apache/htdocs/version.php chmod : getting attributes of `bds’ : Aucun fichier ou répertoire de ce type sh : ./tmp/bds : Aucun fichier ou répertoire de ce type [Tue Aug 14 13:29:23 2007] [error] [client 41.250.23.43]
Quelques adresses pour les patchs/correctifs :
http://www.joomla.org/content/view/3677/1/
http://secunia.com/search/ ?search=joomla
MISES à jour :
quelques failles de sécurité publiques pour Joomla !
2007-12-05 Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln 1585 R D K-159
2007-11-19 Joomla Component JUser 1.0.14 Remote File Inclusion Vulnerability 5303 R D NoGe
2007-11-16 Joomla Component Carousel Flash Image Gallery RFI Vulnerability 3956 R D Crackers_Child
2007-10-12 Joomla Component com_colorlab 1.0 Remote File Inclusion Vulnerability 6408 R D xoron
2007-10-11 Joomla Flash uploader 2.5.1 Remote File Inclusion Vulnerabilities 5348 R D mdx
2007-10-10 Joomla Component JContentSubscription 1.5.8 Multiple RFI Vulns 3514 R D NoGe
2007-10-10 Joomla Component MP3 Allopass 1.0 Remote File Inclusion Vulnerability 2751 R D NoGe
2007-10-08 Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability 3294 R D k1n9k0ng
2007-10-07 Joomla Component wmtportfolio 1.0 Remote File Inclusion Vulnerability 3086 R D NoGe
2007-10-07 Joomla Flash Image Gallery Component RFI Vulnerability 3688 R D xoron
2007-10-06 Joomla panoramic component 1.0 Remote File Inclusion Vulnerability 3372 R D NoGe
2007-09-21 Joomla Component com_slideshow Remote File Inclusion Vulnerability 5569 R D ShockShadow
2007-09-16 Joomla Component joom12Pic 1.0 Remote File Inclusion Vulnerability 5511 R D Morgan
2007-09-15 Joomla Component Flash Fun ! 1.0 Remote File Inclusion Vulnerability 5027 R D Morgan
2007-09-13 Joomla Component joomlaradio v5 Remote File Inclusion Vulnerability 4360 R D Morgan
2007-09-08 Joomla Component Restaurante Remote File Upload Vulnerability 5337 R D Cold Zero
2007-09-01 Joomla ! 1.5 Beta1/Beta2/RC1 Remote SQL Injection Exploit 8016 R D Silentz
2007-08-23 Joomla Component BibTeX <= 1.3 Remote Blind SQL Injection Exploit 6806 R D ajann
2007-08-23 Joomla Component EventList <= 0.8 (did) SQL Injection Vulnerability 5778 R D ajann
2007-08-23 Joomla Component Nice Talk <= 0.9.3 (tagid) SQL Injection Vulnerability 4161 R D ajann
2007-08-23 Joomla Component RSfiles <= 1.0.2 (path) File Download Vulnerability 4459 R D ajann
2007-08-23 Joomla Component NeoRecruit <= 1.4 (id) SQL Injection Vulnerability 3722 R D ajann
2007-07-31 Joomla Component com_gmaps 1.00 (mapId) Remote SQL Injection 9340 R D xoron
2007-07-22 Joomla ! CMS 1.5 beta 2 (search) Remote Code Execution Vulnerability 8286 R D Johannes Greil
2007-07-19 Joomla Component Pony Gallery <= 1.5 SQL Injection Vulnerability 6712 R D ajann
2007-07-18 Joomla Component Expose <= RC35 Remote File Upload Vulnerability 9400 R D Cold Zero
2007-05-28 Joomla Component Phil-a-Form <= 1.2.0.0 SQL Injection Exploit 6588 R D CypherXero
2007-04-23 Joomla 1.5.0 Beta (pcltar.php) Remote File Inclusion Vulnerability 8704 R D Omid
2007-04-17 Joomla Template Be2004-2 (index.php) Remote File Include Exploit 8710 R D Cold Zero
2007-04-17 Joomla Component JoomlaPack 1.0.4a2 RE (CAltInstaller.php) RFI 6202 R D Cold Zero
2007-04-14 Mambo/Joomla Component Article 1.1 Remote File Inclusion Vulnerability 8030 R D Cold Zero
2007-04-14 Joomla Module AutoStand 1.0 Remote File Inclusion Vulnerability 4703 R D Cold Zero
2007-04-11 Joomla Component mosMedia <= 1.0.8 Remote File Inclusion Vulnerability 5584 R D GoLd_M
2007-04-10 Joomla/Mambo Component Taskhopper 1.1 RFI Vulnerabilities 4823 R D Cold Zero
2007-03-27 Joomla Component D4JeZine <= 2.8 Remote BLIND SQL Injection Exploit 4619 R D ajann
2007-03-24 Joomla Component RWCards <= 2.4.3 Remote SQL Injection Exploit 4714 R D ajann
2007-03-24 Joomla Component Car Manager <= 1.1 Remote SQL Injection Exploit 3916 R D ajann
2007-03-23 Joomla Component Joomlaboard 1.1.1 (sbp) RFI Vulnerability 6421 R D Cold Zero
2007-03-23 Joomla/Mambo Component SWmenuFree 4.0 RFI Vulnerability 5077 R D Cold Zero
2006-11-17 MosReporter Joomla Component 0.9.3 Remote File Include Exploit 5987 R D Crackers_Child
2006-08-19 Joomla <=1.0.10 (poll component) Arbitrary Add Votes Exploit 9668 R D trueend5
2006-08-18 Joomla Kochsuite Component <= 0.9.4 Remote File Include Vulnerability 5752 R D camino
2006-08-18 Joomla Link Directory Component <= 1.0.3 Remote Include Vulnerability 7430 R D camino
2006-08-18 Joomla Artlinks Component <= 1.0b4 Remote Include Vulnerability 6890 R D camino
2006-08-17 Joomla Mosets Tree <= 1.0 Remote File Include Vulnerability 5156 R D Crackers_Child
2006-08-17 Joomla com_jim Component <= 1.0.1 Remote File Include Vulnerability 6018 R D xoron