Hier, une porte dérobée (backdoor) a été trouvée dans le paquet PhpMyAdmin qui se trouvait sur le miroir cdnetworks-kr-1 de SourceForge.net. Cette porte dérobée se trouve dans le fichier server_sync.php. Elle autorise l’exécution de code à distance. À noter qu’un autre fichier, js/cross_framing_protection.js, a aussi été modifié. Le paquet modifié, phpMyAdmin-3.5.2.2-all-languages.zip, semble l’avoir été le 22 septembre dernier. 400 personnes l’auraient téléchargé.
Pour le moment, un seul fichier modifié a été détecté, mais il est probable que d’autres paquets présents sur ce miroir aient été modifiés pour inclure des portes dérobées. Il est donc suggéré de vérifier et revérifier la source de vos différents paquets si vous en avez téléchargés depuis SourceForge.net dernièrement. Le miroir incriminé a été retiré de la liste des miroirs disponibles.
NdM : merci à pasBill pasGates pour son journal.
- Journal à l’origine de la dépêche (340 clics)
- Annonce de sécurité sur le site de phpMyAdmin (102 clics)
- Des détails sur le blog de SourceForge (134 clics)
# sha1sum
Posté par yanntech . Évalué à 3.
Le sum sha1 était-il également modifié ?
[^] # Re: sha1sum
Posté par d-jo (page perso) . Évalué à 1.
Quelle sum ? Tu trouves des checksum sur sourceforge toi ?
[^] # Re: sha1sum
Posté par Tony Flow . Évalué à 5.
Y'en a. Quand on parcours les fichiers dispo en téléchargement, pour chacun en fin de ligne on trouve un icone (i) "View details" : cliquer dessus laisse apparaitre les signatures SHA1 et MD5.
# Il y'a une solution simple
Posté par gnumdk (page perso) . Évalué à 5. Dernière modification : le 27/09/12 à 07:52
Pour éviter ce genre de désagréments,
# apt-get install phpmyadmin
ca permet de:
[^] # Re: Il y'a une solution simple
Posté par gentildemon . Évalué à 4.
En quoi ton miroir apt est plus sûr qu'un miroir sourceforge ? Un mirroir apt peut être compromis…
[^] # Re: Il y'a une solution simple
Posté par gnumdk (page perso) . Évalué à 4.
Euh, parce que les paquets sont signés ?
[^] # Re: Il y'a une solution simple
Posté par Laurent Pointal (page perso) . Évalué à 10.
Et la personne qui récupère les sources et fait le package, elle les récupères où ?
[^] # Re: Il y'a une solution simple
Posté par Gui13 (page perso) . Évalué à 0.
Pertinent.
[^] # Re: Il y'a une solution simple
Posté par CrEv (page perso) . Évalué à 4.
Directement depuis le gestionnaire de source, non ? (avec le tag qui va bien)
[^] # Re: Il y'a une solution simple
Posté par symoon (page perso) . Évalué à 3.
Non généralement, on part du tarball de la release (sauf pour les cas où l'upstream ne fournit pas de tarball).
[^] # Re: Il y'a une solution simple
Posté par nledez . Évalué à 2.
Effectivement,
Mais dans ce cas, le mainteneur du paquet va mettre à jour son paquet et toi tu n'auras qu'un apt-get upgrade à faire.
Dans le cas contraire, il faut mettre à jour tous les phpmyadmin à la main…
[^] # Re: Il y'a une solution simple
Posté par symoon (page perso) . Évalué à 6. Dernière modification : le 27/09/12 à 07:51
Le responsable du paquet qui récupère les sources:
[^] # Re: Il y'a une solution simple
Posté par gnumdk (page perso) . Évalué à 4.
Euh, sur un serveur upstream et pas sur le premier mirroir venu.
Et comme dit plus haut, elle vérifie la validité du tarball.
[^] # Re: Il y'a une solution simple
Posté par Julien Wajsberg . Évalué à 4.
A ma connaissance, le serveur compromis était bien un upstream, hein…
Reste la question de la vérification de la validité: le sha1 était-il correct ou non ?
# Victime?
Posté par YuGiOhJCJ (page perso) . Évalué à -4.
Bonjour,
Moi j'ai téléchargé le 13/08/2012 à 11:25 l'archive et le MD5SUM est celui-ci :
$ md5sum phpMyAdmin-3.5.2.2-all-languages.tar.xz
3f8993fe0f2fee1a022768278c6a270b phpMyAdmin-3.5.2.2-all-languages.tar.xz
Est-ce que je suis victime de ce backdoor?
Merci.
[^] # Re: Victime?
Posté par Marotte . Évalué à 4.
Si l'analyse qui a conduit je ne sais qui à affirmer :
est bonne, je dirais que non.
Il serait intéressant de connaître le code malicieux en question. Et aussi de savoir si des outils comme checkrootkit ou clamav (ou autre) permettent de déterminer si oui ou non une installation donnée de phpMyAdmin est atteinte ou pas.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.