Un miroir SourceForge a été compromis

Posté par . Édité par Florent Zara, Benoît Sibaud, Davy Defaud et Manuel Menal. Modéré par Florent Zara.
Tags : aucun
31
26
sept.
2012
Sécurité

Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.

Logo sourceforge

Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.

NdM : merci à pasBill pasGates pour son journal.

  • # sha1sum

    Posté par . Évalué à 3.

    Le sum sha1 était-il également modifié ?

    • [^] # Re: sha1sum

      Posté par (page perso) . Évalué à 1.

      Le sum sha1 était-il également modifié ?

      Quelle sum ? Tu trouves des checksum sur sourceforge toi ?

      • [^] # Re: sha1sum

        Posté par . Évalué à 5.

        Y'en a. Quand on parcours les fichiers dispo en téléchargement, pour chacun en fin de ligne on trouve un icone (i) "View details" : cliquer dessus laisse apparaitre les signatures SHA1 et MD5.

  • # Il y'a une solution simple

    Posté par (page perso) . Évalué à 5. Dernière modification le 27/09/12 à 07:52.

    Pour éviter ce genre de désagréments,

    # apt-get install phpmyadmin

    ca permet de:

    • Valider la source du paquet
    • Etre sur de ne pas louper une alerte de sécurité
    • [^] # Re: Il y'a une solution simple

      Posté par . Évalué à 4.

      En quoi ton miroir apt est plus sûr qu'un miroir sourceforge ? Un mirroir apt peut être compromis…

      • [^] # Re: Il y'a une solution simple

        Posté par (page perso) . Évalué à 4.

        Euh, parce que les paquets sont signés ?

        • [^] # Re: Il y'a une solution simple

          Posté par (page perso) . Évalué à 10.

          Et la personne qui récupère les sources et fait le package, elle les récupères où ?

          • [^] # Re: Il y'a une solution simple

            Posté par (page perso) . Évalué à 0.

            Pertinent.

          • [^] # Re: Il y'a une solution simple

            Posté par (page perso) . Évalué à 4.

            Directement depuis le gestionnaire de source, non ? (avec le tag qui va bien)

            • [^] # Re: Il y'a une solution simple

              Posté par . Évalué à 3.

              Non généralement, on part du tarball de la release (sauf pour les cas où l'upstream ne fournit pas de tarball).

          • [^] # Re: Il y'a une solution simple

            Posté par . Évalué à 2.

            Effectivement,

            Mais dans ce cas, le mainteneur du paquet va mettre à jour son paquet et toi tu n'auras qu'un apt-get upgrade à faire.

            Dans le cas contraire, il faut mettre à jour tous les phpmyadmin à la main…

          • [^] # Re: Il y'a une solution simple

            Posté par . Évalué à 6. Dernière modification le 27/09/12 à 07:51.

            Le responsable du paquet qui récupère les sources:

            • doit vérifier les signatures gpg (et faire pression sur l'upstream si les releases ne sont pas signées)
            • doit regarder les différences par rapport à la dernière version packagée (et pas seulement à cause de la sécurité)
          • [^] # Re: Il y'a une solution simple

            Posté par (page perso) . Évalué à 4.

            Et la personne qui récupère les sources et fait le package, elle les récupères où ?

            Euh, sur un serveur upstream et pas sur le premier mirroir venu.

            Et comme dit plus haut, elle vérifie la validité du tarball.

            • [^] # Re: Il y'a une solution simple

              Posté par . Évalué à 4.

              A ma connaissance, le serveur compromis était bien un upstream, hein…

              Reste la question de la vérification de la validité: le sha1 était-il correct ou non ?

  • # Victime?

    Posté par (page perso) . Évalué à -4.

    Bonjour,

    Moi j'ai téléchargé le 13/08/2012 à 11:25 l'archive et le MD5SUM est celui-ci :
    $ md5sum phpMyAdmin-3.5.2.2-all-languages.tar.xz
    3f8993fe0f2fee1a022768278c6a270b phpMyAdmin-3.5.2.2-all-languages.tar.xz

    Est-ce que je suis victime de ce backdoor?

    Merci.

    • [^] # Re: Victime?

      Posté par . Évalué à 4.

      Si l'analyse qui a conduit je ne sais qui à affirmer :

      Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier

      est bonne, je dirais que non.

      Il serait intéressant de connaître le code malicieux en question. Et aussi de savoir si des outils comme checkrootkit ou clamav (ou autre) permettent de déterminer si oui ou non une installation donnée de phpMyAdmin est atteinte ou pas.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.