Question Piratage - Faille Kunena 1.5.5 ?

Bonjour.

Le 8.2.10, mon serveur dédié chez OVH a été piraté. Pleins de fichiers ont été effacés dans l'arbo de Joomla (1.5.9), bref, un désastre, d'autant que mes backup se sont révélés foireux. Par contre, la BD MySQL était intacte.


J'avais installé JoomlaWatch. J'ai remonté sur un LAMP vierge la BD de JoomlaWatch, et j'ai pu tracer les dernières manip du pirate. Il a joué avec Kunena, et je me demande s'il n'a pas exploité une faille ... Voici ce qu'il en est :

((( lire le fichier .RTF zippé joint à ce mail, j'ai pas pu poster les URL telquels, ce forum ne voulait pas me valider le message )))

Puis plus de trace...

Question : cette technique/exploit/faille est-elle connue, et si oui, est-elle corrigée dans la version actuelle 1.5.9 ?

Bonjour,

C'est pour cela qu'il est nécessaire de mettre à jour joomla! et kunena, et tous les autres composants comme les plugins, installés dés qu'un mise à jour est là.

Il y avait une faille présente dans la liste des utilisateurs qui est corrigé avec kunena 1.5.9 : www.kunena.com/forum/77-general-talk-abo...curity-vulnerability , comme tu utilise K1.5.4 tu as eu droit à cette faille.

Merci xilibit de ton intervention.

J'ai corrigé mon précédent message ou j'ai pu intégrer les URL en question. Peux-tu me confirmer que c'est bien ce qui m'a affecté comme problème ?

Edit : c'était un KUNENA 1.5.5 (et non pas 1.5.4 ou 1.5.6).

Il a utilisé l'injection sql présente dans la liste des utilisateurs de Kunena .


Pourquoi tu garde d'aussi vieilles versions de joomla! et kunena ?

Les raisons sont aussi nombreuses que diverses :

* Pas le temps de m'occuper énormément de mon site
* Chaque mise à jour de Joomla entraine (parfois) des incompatibilités de composants/modules/plugins
* Chaque updage de Kunena m'oblige à faire pas mal de bidouilles pour ajuster le template à mes souhaits
* etc...

En règle générale, quand ca marche bien, après de longs mois d'ajustement, on saute pas sur la dernière release publiée pour l'installer pour toutes les "mauvaises" raison ci-dessus évoquées. Et puis l'on se dit que ca n'arrive qu'aux autres...

Mais je sais que c'est un tord. La preuve. :dry:

Si les mises à jour se résumaient à cliquer sur un bouton en ayant l'assurance que rien ne bouge, je serai up to date de partout, mais nous savons tous que ce n'est malheureusement pas le cas.

Sinon, d'autres joyeusetés en terme de vulnérabilités existent/sont connues dans Kunena ?

Je sais que ce n'est pas simple de mettre à jour assez souvent, surtout qu'avec kunena 1.5.x la logique est dans le template, donc il faire attention que le template utilisé corresponde bien à la version de Kunena, mais ceci va changer avec Kunena 1.6.0, la logique est en dehors du template, donc ce sera plus facile pour changer de template.

Dans K1.5.9, il n'y a pas de nouvelles vulnérabilités connues.

Je bois tes paroles. Il me tarde que cette 1.6 sorte.

Merci de ton aide, au plaisir.

bonjour,

je viens de lire ce sujet intéressant...

car dernièrement un forum qui utilise le même concept et aborde le même sujet que le nôtre aurais ete piraté ! un de nos membres est un peu septicque donc ma question est :

quel est le niveau de sécurité de Joomla et Kunena ?

Bonjour,

Joomla! seul ne pose pas de problèmes de sécurité c'est les extensions tierces qui apportent les problèmes de sécurités. Pour Kunena 1.6.x et 1.7.0, les failles de sécurités ont été corrigés précédemment donc tu n'as de souci à te faire