bonjour a tous
voici un inquietant message (vennant du CERT Renater)
qui conserne notre webmail
>
> Compromissions de la semaine
> --------------------------
>
> Horde est une plate-forme de type Webmail permettant d'offrir
> un acces securise pour l'utilisation du mail a distance.
>
> Une alerte concernant des attaques en cours sur Horde3 a deja
> ete envoyee cette semaine. Depuis nous avons decouvert au moins
> quatre piratages assez serieux de ces serveurs. La mise a jour
> et la verification des fichiers "access.log" et "ssl_accesss.log"
> de tous ces serveurs s'imposent, y compris des serveurs Horde2.
>
> L'attaque a porte a chaque fois sur l'exploitation de la faille
> "Help viewer". Les chaines de caracteres a rechercher sont du type:
> /horde/services/help/?show=about&module=;\".passthru(\"cmd\");
>
> Dans un des cas les pirates ont pu utiliser un de ces serveurs
> pour y camoufler un faux site de phishing sous /horde/services/help/.
>
> Dans les trois autres cas, les serveurs contenaient tous des
> backdoors, des reverses backdoors mais aussi des programmes
> permettant d'attaquer en local des failles du systeme
> pour elever les privileges du pirate.
>
> Nous notons aussi l'utilisation de la commande lwp-rget pour
> permettre la recuperation de ces binaires. Cette commande
> s'ajoute a cette liste: wget, curl, fetch, lwp-download...
> Restreindre les droits d'apache pour l'execution de ces
> commandes pourrait etre tres utile et prevenir certaines de
> ces attaques.
>
> D'autre part l'installation du module d'apache "mod_security"
> sur les serveurs webs avec des regles qui filtrent les requetes
> utilisant des commandes du type wget;uname;rm;mv;pwd;chmod;lynx;
> perl... ou bien d'autres patterns pourraient aussi etre tres utile.
>
> Aussi le montage des repertoires /var/tmp et /tmp en noexec
> empechera l'installation des binaires dans ces parties accesibles
> avec les droits apache.
>
> References et mises a jour:
> http://www.horde.org/
> http://www.securityfocus.com/bid/17292/info
> Security releases for Horde 3.0.x and Horde 3.1:
> http://janschneider.de/cweb/home/index, ... y,263.html
> Avis Gentoo:
> http://www.gentoo.org/security/en/glsa/ ... 604-02.xml
> Avis Debian:
> http://security.debian.org/pool/updates/main/h/horde3
> http://security.debian.org/pool/updates/main/h/horde2
> Avis Suse:
> http://www.novell.com/linux/security/ad ... 07_sr.html
verifier vos serveur