J’ai découvert hier qu’un hacker avait publié un script permettant d’exploiter une faille dans un de mes scripts, Mail-it Now!.
Lors de l’upload de fichiers sur un serveur distant, le script renomme automatiquement les fichiers en ajoutant la date au format Unix.
Or notre hacker a créé un formulaire distant qui essaie de calculer le timestamp. Il ne lui reste donc plus qu’à reformer le nom du fichier (date + nom de fichier) et de deviner le nom du répertoire upload.
Cela lui permet alors d’uploader un fichier lui permettant d’exécuter du code à distance (remote code execution).
La bonne nouvelle, c’est que le script a été immédatement corrigé. J’invite donc tous les utilisateurs à mettre à jour leur version en téléchargeant Mail-it Now! Upload2Server v1.5.1.
Le mode de création des noms de fichiers a été améliorée et rend la devinette beaucoup plus difficile.
Un fichier .htaccess sommaire a également été ajouté dans le répertoire upload afin d’interdire le listage des fichiers.
Je recommande à tous de renommer votre répertoire upload, histoire d’éviter toute mauvaise surprise.
La version 1.5.1 a été mise en ligne hier soir (1er octobre 2005) vers 21h. Tous ceux qui ont téléchargé l’archive après cette date sont donc protégés. Pour les autres, mettez votre version à jour le plus rapidement possible.
Quelle leçon tirer de cette histoire ? Je suis tout d’abord surpris de voir que quelqu’un ait passé du temps à travailler sur le script pour le désosser et trouver une faille à exploiter. J’avoue que je suis flatté.
Par contre, je suis un peu dégoûté que ce hacker qui n’a pas observé les règles de bienséance qui veulent qu’un hacker prévienne l’auteur du script quelques temps avant de rendre la faille publique, pour que ce dernier puisse sortir un correctif rapidement.
Démo de Mail-it Now! – Télécharger Mail-it Now! – Preview de Mail-it Now! v2.0