×
Blue Eagle 5 v1.5.4 has been Released (13 Sep 2020)

The Kunena team has announce the arrival of Kunena template Blue Eagle 5 v1.5.4 which is now available for download. This version addresses most of the issues that were discovered in development.

× Les sujets sont déplacés dans ce domaine ne sont fermés parce qu'ils se rapportent à des versions non prises en charge de Kunena.

Question Piratage - Faille Kunena 1.5.5 ?

More
10 years 7 months ago - 10 years 7 months ago #1 by chr!x
Bonjour.

Le 8.2.10, mon serveur dédié chez OVH a été piraté. Pleins de fichiers ont été effacés dans l'arbo de Joomla (1.5.9), bref, un désastre, d'autant que mes backup se sont révélés foireux. Par contre, la BD MySQL était intacte.


J'avais installé JoomlaWatch. J'ai remonté sur un LAMP vierge la BD de JoomlaWatch, et j'ai pu tracer les dernières manip du pirate. Il a joué avec Kunena, et je me demande s'il n'a pas exploité une faille ... Voici ce qu'il en est :

((( lire le fichier .RTF zippé joint à ce mail, j'ai pas pu poster les URL telquels, ce forum ne voulait pas me valider le message )))

Puis plus de trace...

Question : cette technique/exploit/faille est-elle connue, et si oui, est-elle corrigée dans la version actuelle 1.5.9 ?

File Attachment:

File Name: hack_kunena.zip
File Size:1 KB
Attachments:
Last edit: 10 years 7 months ago by chr!x.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago #2 by xillibit
Bonjour,

C'est pour cela qu'il est nécessaire de mettre à jour joomla! et kunena, et tous les autres composants comme les plugins, installés dés qu'un mise à jour est là.

Il y avait une faille présente dans la liste des utilisateurs qui est corrigé avec kunena 1.5.9 : www.kunena.com/forum/77-general-talk-abo...curity-vulnerability , comme tu utilise K1.5.4 tu as eu droit à cette faille.

I don't provide support by PM, because this can be useful for someone else.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago - 10 years 7 months ago #3 by chr!x
Merci xilibit de ton intervention.

J'ai corrigé mon précédent message ou j'ai pu intégrer les URL en question. Peux-tu me confirmer que c'est bien ce qui m'a affecté comme problème ?

Edit : c'était un KUNENA 1.5.5 (et non pas 1.5.4 ou 1.5.6).
Last edit: 10 years 7 months ago by chr!x.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago #4 by xillibit
Il a utilisé l'injection sql présente dans la liste des utilisateurs de Kunena :( .


Pourquoi tu garde d'aussi vieilles versions de joomla! et kunena ?

I don't provide support by PM, because this can be useful for someone else.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago - 10 years 7 months ago #5 by chr!x
Les raisons sont aussi nombreuses que diverses :

* Pas le temps de m'occuper énormément de mon site
* Chaque mise à jour de Joomla entraine (parfois) des incompatibilités de composants/modules/plugins
* Chaque updage de Kunena m'oblige à faire pas mal de bidouilles pour ajuster le template à mes souhaits
* etc...

En règle générale, quand ca marche bien, après de longs mois d'ajustement, on saute pas sur la dernière release publiée pour l'installer pour toutes les "mauvaises" raison ci-dessus évoquées. Et puis l'on se dit que ca n'arrive qu'aux autres...

Mais je sais que c'est un tord. La preuve. :dry:

Si les mises à jour se résumaient à cliquer sur un bouton en ayant l'assurance que rien ne bouge, je serai up to date de partout, mais nous savons tous que ce n'est malheureusement pas le cas.

Sinon, d'autres joyeusetés en terme de vulnérabilités existent/sont connues dans Kunena ?
Last edit: 10 years 7 months ago by chr!x.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago #6 by xillibit
Je sais que ce n'est pas simple de mettre à jour assez souvent, surtout qu'avec kunena 1.5.x la logique est dans le template, donc il faire attention que le template utilisé corresponde bien à la version de Kunena, mais ceci va changer avec Kunena 1.6.0, la logique est en dehors du template, donc ce sera plus facile pour changer de template.

Dans K1.5.9, il n'y a pas de nouvelles vulnérabilités connues.

I don't provide support by PM, because this can be useful for someone else.

Please Log in or Create an account to join the conversation.

More
10 years 7 months ago #7 by chr!x
Je bois tes paroles. Il me tarde que cette 1.6 sorte.

Merci de ton aide, au plaisir.

Please Log in or Create an account to join the conversation.

More
9 years 1 week ago #8 by virtuader
bonjour,

je viens de lire ce sujet intéressant...

car dernièrement un forum qui utilise le même concept et aborde le même sujet que le nôtre aurais ete piraté ! un de nos membres est un peu septicque donc ma question est :

quel est le niveau de sécurité de Joomla et Kunena ?

File Attachment:

Par les passionnés pour les passionnés.
www.virtuader.fr

Joomla 2.5

Please Log in or Create an account to join the conversation.

More
9 years 1 week ago #9 by xillibit
Bonjour,

Joomla! seul ne pose pas de problèmes de sécurité c'est les extensions tierces qui apportent les problèmes de sécurités. Pour Kunena 1.6.x et 1.7.0, les failles de sécurités ont été corrigés précédemment donc tu n'as de souci à te faire

I don't provide support by PM, because this can be useful for someone else.
The following user(s) said Thank You: virtuader

Please Log in or Create an account to join the conversation.

  • Not Allowed: to create new topic.
  • Not Allowed: to reply.
  • Not Allowed: to edit your message.
Time to create page: 0.140 seconds