faille de sécurité critique sous horde

par **popov1100** » 18 Avr 2006 09:10

bonjour a tous

voici un inquietant message (vennant du CERT Renater)
qui conserne notre webmail

>
> Compromissions de la semaine
> --------------------------
>
> Horde est une plate-forme de type Webmail permettant d'offrir
> un acces securise pour l'utilisation du mail a distance.
>
> Une alerte concernant des attaques en cours sur Horde3 a deja
> ete envoyee cette semaine. Depuis nous avons decouvert au moins
> quatre piratages assez serieux de ces serveurs. La mise a jour
> et la verification des fichiers "access.log" et "ssl_accesss.log"
> de tous ces serveurs s'imposent, y compris des serveurs Horde2.
>
> L'attaque a porte a chaque fois sur l'exploitation de la faille
> "Help viewer". Les chaines de caracteres a rechercher sont du type:
> /horde/services/help/?show=about&module=;\".passthru(\"cmd\");
>
> Dans un des cas les pirates ont pu utiliser un de ces serveurs
> pour y camoufler un faux site de phishing sous /horde/services/help/.
>
> Dans les trois autres cas, les serveurs contenaient tous des
> backdoors, des reverses backdoors mais aussi des programmes
> permettant d'attaquer en local des failles du systeme
> pour elever les privileges du pirate.
>
> Nous notons aussi l'utilisation de la commande lwp-rget pour
> permettre la recuperation de ces binaires. Cette commande
> s'ajoute a cette liste: wget, curl, fetch, lwp-download...
> Restreindre les droits d'apache pour l'execution de ces
> commandes pourrait etre tres utile et prevenir certaines de
> ces attaques.
>
> D'autre part l'installation du module d'apache "mod_security"
> sur les serveurs webs avec des regles qui filtrent les requetes
> utilisant des commandes du type wget;uname;rm;mv;pwd;chmod;lynx;
> perl... ou bien d'autres patterns pourraient aussi etre tres utile.
>
> Aussi le montage des repertoires /var/tmp et /tmp en noexec
> empechera l'installation des binaires dans ces parties accesibles
> avec les droits apache.
>
> References et mises a jour:
> http://www.horde.org/
> http://www.securityfocus.com/bid/17292/info
> Security releases for Horde 3.0.x and Horde 3.1:
> http://janschneider.de/cweb/home/index, ... y,263.html
> Avis Gentoo:
> http://www.gentoo.org/security/en/glsa/ ... 604-02.xml
> Avis Debian:
> http://security.debian.org/pool/updates/main/h/horde3
> http://security.debian.org/pool/updates/main/h/horde2
> Avis Suse:
> http://www.novell.com/linux/security/ad ... 07_sr.html

verifier vos serveur

par **shwing** » 18 Avr 2006 09:24

bonjour tous,

est-ce qu'avec yum ce genre de faille est patché, ou faut-il appliquer le patch à la mano ?

par **popov1100** » 18 Avr 2006 09:45

a priori il faut soit desactiver l'aide (brutal mais ca marche)
soit mettre a jour horde vers la 3.1.1

sur mon sme V7 de test, mis a jour automatiquement
Horde 3.0.9....... donc vulnerable

par **popov1100** » 25 Avr 2006 10:58

visiblement pas beaucoup d'avis sur le sujet ?

dommage

par **androme** » 25 Avr 2006 11:12

peut être que bcp d'entre nous utilisent autre chose que horde ?

Car il faut avouer que c'est pas genial comme webmail à mon avis.
pas très agréable graphiquement, à l'utilisation c'est plutot bof aussi, mais le sujet n'est pas là, désolé de c'est egarement

par **egin** » 25 Avr 2006 18:22

Salut,
Cela serait sympa de connaitre la manip, pour faire la mise à jour, perso je ne la sens pas trop de peur de planter horde et s'il plante je serais trés mal , trop nul pour récupérer un éventuel plantage.

@++

par **chpego** » 26 Avr 2006 01:31

Salut, bon étant un peu novice, je suis allez voir par moi même, donc en faite je suis aller sur le site de horde, plus particulierement à cette adresse ... d'abord j'ai vérifié la version de horde présente sur ma sme via un

Code: Tout sélectionner: rpm -qa | grep horde

... donc il me dis que jai la version 3.0.9 (pas cool faut update !), ensuite je télécharge ce fichier avec la commande wget

Code: Tout sélectionner: wget ftp://ftp.horde.org/pub/horde/horde-3.1.1.tar.gz

apres jai dezippé la chose via un

Code: Tout sélectionner: tar -xzvf horde-3.1.1.tar.gz

puis je suis allé faire un petit tour au niveau de la documentation .... je suis allé lire le fichier docs/UPGRADING, et apparement il faut faire 2 manips qui sont les suivantes:

la 1ere:
A few new tables have been added to Horde.
Execute the provided SQL script to update your data to the new Horde version::

Code: Tout sélectionner: mysql --user=root --password=<MySQL-root-password> <db name> < scripts/upgrades/3.0_to_3.1.mysql.sql

la 2e:
The Horde_History storage has been moved out to a separate database table to
drastically improve performance.

.. Warning:: Migration of the Horde_History data may take a very long time,
possibly days, depending on the number of entries. Be sure to
execute this script from a location where it will not be timed
out by firewall or terminal timeouts.
Execute the provided PHP script to migrate your histories to the new table::

Code: Tout sélectionner: php scripts/upgrades/move_history_out_of_datatree.php

Seulement voilà je bloque à la premiere commande, la sme me renvoi cette erreur:

Code: Tout sélectionner: ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)

, je lui fourni bien le mot de passe mais elle veut pas, si quelqu'un peut se pencher dessus :wink:

évidement si je raconte des $%#&! merci de corriger

bonne soirée :wink:

par **shwing** » 26 Avr 2006 09:20

Salut,

Merci de t'être penché sérieusement sur ce problème.

J'ai une question sur la manip ce-dessous. Le MYSQL-root-password , penses-tu que c'est bien le root password ou l'admin password ? Car si c'est le root , bonjour la commande

la 1ere:
A few new tables have been added to Horde.
Execute the provided SQL script to update your data to the new Horde version::

Code: Tout sélectionner: mysql --user=root --password=<MySQL-root-password> <db name> < scripts/upgrades/3.0_to_3.1.mysql.sql

par **chpego** » 26 Avr 2006 09:29

Bon sinon ya peut-ete plus simple, en faisant une petite recherche sur Internet, j'ai trouvé dans un forum comment faire pour l'upgrade, il suffirait en faite d'ouvrir le fichier scripts/upgrades/3.0_to_3.1.mysql.sql, puis de copier/coller le(s) requete(s) SQL, puis de les effectué avec phpmyadmin (si celui-ci est installé bien sur

) j'ai trouvé une page sur le site de horde, au lieu d'aller voir dans le fichier UPGRADING ... par ici en ce qui concerne la 2e manip je n'ai pas encore eu le temps d'essayé :wink:

par **chpego** » 26 Avr 2006 09:33

Le code à executé si jamais vous voulez passer par phpmyadmin, il suffit dans la base de donnée de horde, puis de rentrer ces requetes SQL:

Code: Tout sélectionner: ALTER TABLE horde_users ADD COLUMN user_soft_expiration_date INT; ALTER TABLE horde_users ADD COLUMN user_hard_expiration_date INT; CREATE TABLE horde_histories ( history_id BIGINT NOT NULL, object_uid VARCHAR(255) NOT NULL, history_action VARCHAR(32) NOT NULL, history_ts BIGINT NOT NULL, history_desc TEXT, history_who VARCHAR(255), history_extra TEXT, -- PRIMARY KEY (history_id) ); CREATE INDEX history_action_idx ON horde_histories (history_action); CREATE INDEX history_ts_idx ON horde_histories (history_ts); CREATE INDEX history_uid_idx ON horde_histories (object_uid); GRANT SELECT, INSERT, UPDATE, DELETE ON horde_histories TO horde@localhost;

Pour la 2e manip, je viens de la faire:

Code: Tout sélectionner: [root@nunux-server horde-3.1.1]# php scripts/upgrades/move_history_out_of_datatree.php Content-type: text/html X-Powered-By: PHP/4.3.9 Beginning migration. This may take a very long time to complete.

par **popov1100** » 26 Avr 2006 09:51

salut

la migration n'est pas trop complexe sur un distrib classique,
pas contre je que je crains c'est que les templates de SME
compliquent fortement la procedur ??

mais je dis peut etre des $%#&! ;-)

)

par **chpego** » 26 Avr 2006 10:19

j'ai effectuer les deux manipulations sur une SME7 RC1...si tu suis le procédé indiqué pour une distrib classique, tu verra qu'il n'y a (apparement) pas besoin de toucher au template :wink:

par **egin** » 26 Avr 2006 14:10

Bonjour,

Je me doute, mais question idiote, la manip est la même pour SME 6.01?

Code: Tout sélectionner: [root@sme root]# rpm -qa | grep horde horde-2.2.9-1sme00 e-smith-horde-1.10.0-02

Merci.

par **manaos** » 27 Avr 2006 00:07

Seulement voilà je bloque à la premiere commande, la sme me renvoi cette erreur:
Code:

Code: Tout sélectionner
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES)

, je lui fourni bien le mot de passe mais elle veut pas, si quelqu'un peut se pencher dessus

Salut,

Est-ce que tu arrives à te connecter via la commande

Code: Tout sélectionner: mysql -u root -p"password" ?

Première manip:

Code: Tout sélectionner: tar -xzf horde-3.1.1.tar.gz cd horde-3.1.1/scripts/upgrades cat 3.0_to_3.1.mysql.sql | mysql -u root -p -D horde

Une dixième ligne est bien apparue dans la base horde

Seconde manip:

Code: Tout sélectionner: php scripts/upgrades/move_history_out_of_datatree.php Content-type: text/html X-Powered-By: PHP/4.3.9 Beginning migration. This may take a very long time to complete.

La commande prend une demie seconde; mais est-elle bien prise en compte ??

par **sibsib** » 27 Avr 2006 22:37

Hello,

Un yum update sur ma SME 7 rc 1 ce soir m'a installé une version horde 3.0.10 qui semble contenir le patch de sécurité concerant cette défaillance.

A+,
Pascal

faille de sécurité critique sous horde

faille de sécurité critique sous horde

Qui est en ligne ?