Failles de sécurité dans Dotclear
Publié le mercredi 11 juillet 2007, 16:47 - modifié le 14/07/07 - Actu du blog - Lien permanent
- Article
- |
- Commentaires (0)
- |
- Annexes (0)
Est apparu récemment sur la Toile, une PoC (Proof of Concept) indiquant comment il était possible de passer au travers de la sécurité de Dotclear. Pour ceux qui ne suivraient pas, Dotclear étant le moteur utilisé pour mon blog, je me suis donc penché sur le sujet pour voir de quoi il retourne.
Tout d'abord, la PoC se trouve sur un site dont je ne peux hélas pas vous donner le nom. Non pas que je souhaite garder cela secret défense mais il semblerait qu'il n'en ait tout simplement pas (Il y a bien écrit "sommaire" dans le titre de page mais je ne pense pas que cela soit ça). Je peux néanmoins vous en indiquer l'adresse.
La PoC a ensuite été diffusée sur le forum de Dotclear qui a confirmé l'existence de la faille de sécurité .
Alors de quoi s'agit-il donc ?
Et bien tout simplement lorsque vous êtes administrateur d'un blog Dotclear, il arrive (fréquemment, du moins j'espère) que vous vous connectiez à votre interface d'administration.
Une fois sur cette interface, en simplifiant, vous avez tous pouvoirs sur votre blog et donc tous les liens sur lesquelles vous cliquez (publier un billet, ajouter une image, ...) fonctionnent.
Seulement si, à partir de cette interface, vous cliquer sur un lien qui n'est pas une page de votre blog (exemple, dans l'interface d'administration, je clique sur une adresse internet présente dans un commentaire). La page que vous allez alors ouvrir aura elle aussi tous pouvoirs sur votre blog.
Dans la plupart des cas cela ne porte pas à conséquence mais si la page en question est spécifiquement construite pour nuire à votre blog et bien elle dispose de toutes les autorisations pour s'exécuter.
Que faire ?
Comme dans toutes failles de ce type, il y a 2 types de solution pour contrer la menace. Tout d'abord, à court terme, il est essentiel de se protéger contre ce que l'on appelle les "script-kiddies", c'est à dire les personnes qui appliquent bêtement la PoC pour provoquer des dégâts.
Pour s'en protéger il suffit de modifier légèrement votre blog afin que leur procédure toute faite ne puisse pas fonctionner. Dans la grande majorité des cas, les "script-kiddies" n'iront pas chercher plus loin la raison de leur échec et se rabattront sur un blog moins bien protégé.
Dans le cas qui nous préoccupe, sous Dotclear 2, il suffit de renommer le répertoire "admin" en quelque chose d'autre (ce que vous voulez, "toto", "tamerenslip", ... peu importe).
Ensuite, sur le long terme, il vous suffit d'attendre tranquillement qu'un patch correctif soit mis en place par l'équipe de développeurs.
Pour être tranquille
Enfin, il reste une précaution tout bête à ne pas oublier : sauvegarder son blog régulièrement. Ainsi vous serez à l'abri de toutes attaques importunes mais également de pannes ou autres crash techniques de votre serveur d'hébergement.
Bref, avec un peu de bon sens, il n'y a pas lieu de s'alarmer. Il suffit de se rappeler que, même s'il constitue une part importante de notre vie virtuel, ce n'est après tout qu'un blog.
Auteur: Khaos Farbauti Ibn Oblivion
Restez au courant de l'actualité et abonnez-vous au Flux RSS de cette catégorie
