La seule solution contre une des vulnérabilités de SPIP
SPIP "spip_log" and "include_local" Remote Code Injection Vulnerabilities (FrSIRT/AVIS-2006-0483)
Depuis le 8 février, un trou de sécurité dont les détails sont publiés sur le site FrSIRT a été identifié sur SPIP. Comme aucun correctif officiel n’est disponible pour l’instant, nous publions ici une manière simple de se protéger.
LE logiciel SPIP présente deux vulnérabilités qui peuvent être exploitées à distance et compromettre votre système.
L’exploit repose sur l’utilisation de deux failles qui permettent d’écrire du code du code dans le fichier log situé dans ecrire/data/spip.log, puis de l’exécuter.
En attendant que les développeurs de SPIP sortent une nouvelle version qui corrige ce problème, nous vous conseillons de vous protéger en rendant impossible l’écriture dans ce fichier log :
$ cd $RACINE_DE_VOTRE_SITE_SPIP/ecrire/data/ $ rm spip.log* $ > spip.log $ chmod 0400 spip.log
L’écriture (fichier log en read-only) sera alors impossible dans ce fichier et vous serez à l’abri de cette menace. Simple et efficace.
PS : N.B. Nous avons bien évidemment réalisé cette manipulation sur ce site.
Dernière mise à jour : le vendredi 24 mars 2006
par Ivan HAVLICEK
Nombre de lectures : 3057
Nombre de lectures : 3057
