Journal SquirrelMail compromis

Posté par  (site web personnel) .
Étiquettes :
0
19
déc.
2007
SquirrelMail est un logiciel de webmail écrit en PHP et disponible sous licence GPL.
Apparemment les versions 1.4.11 et 1.4.12 ont été compromises et les packages qui étaient disponibles en téléchargement sur le site ( http://squirrelmail.org/index.php ) contenaient une modification permettant de prendre le contrôle du serveur exécutant SquirrelMail.

"While initial review didn't uncover a need for concern, several proof of concepts show that the package alterations introduce a high risk security issue, allowing remote inclusion of files. These changes would allow a remote user the ability to execute exploit code on a victim machine, without any user interaction on the victim's server. This could grant the attacker the ability to deploy further code on the victim's server.
We STRONGLY advise all users of 1.4.11, and 1.4.12 upgrade immediately.
".

La version de dev 1.5.1 est également compromise : http://thread.gmane.org/gmane.mail.squirrelmail.user/33503

Le problème a été détecté car les sommes de contrôles MD5 des versions téléchargées ne correspondaient pas avec celles publiées sur le site.
Une version saine 1.4.13 est maintenant disponible est les utilisateurs des deux versions antérieures sont invités à mettre à jour d'urgence leur application.

Sur LWN les commentaires se sont orientés sur la résistance réelle de MD5 et sur l'urgence qu'il y aurait à basculer vers SHA-1 ou SHA-256.

En définitive cette affaire est quand même une invitation a toujours vérifier la somme de contrôle quand on télécharge un logiciel sur le net.
  • # Vérifier la somme ?

    Posté par  . Évalué à 1.

    > En définitive cette affaire est quand même une invitation a toujours vérifier la somme de contrôle quand on télécharge un logiciel sur le net.

    D'un côté, si le pirate réussit à balancer son paquet piégé à la place du vrai, il doit pas avoir beaucoup de mal à remplacer le fichier signature qui va avec (c'est bien ça la somme de contrôle ?). Et ça m'étonnerait que ce fichier soit vérifié plus souvent que le paquet en question.
  • # Tu laggue un peu.

    Posté par  . Évalué à 1.

    En etant inscrit aux bonnes listes (TM), j'etais au courant depuis le 14 en fin d'apres midi.
    http://secunia.com/advisories/28095/
  • # Rapport avec la faiblesse de MD5?

    Posté par  (site web personnel) . Évalué à 2.

    Euh... Le problème a été détecté gràce au checksum MD5, donc il a rempli son boulot...
    Donc pourquoi parler de la faible résistance d'un hash qui a fait son boulot?

    Je ne vois aucun gain à basculer vers SHA-1 ou 256 dans ce cas précis...
    • [^] # Re: Rapport avec la faiblesse de MD5?

      Posté par  (site web personnel) . Évalué à 1.

      Je crois que l'on a trouvé des failles statistiques sur MD5 qui permettent de facilement créer des fichiers avec des hashs identiques.

      Ces failles n'existent pas à ce jour en sha 256 (enfin il me semble).
      • [^] # Re: Rapport avec la faiblesse de MD5?

        Posté par  (site web personnel) . Évalué à 2.

        Non, il existe des algos pour trouver deux suites de bits avec la même somme md5 en un nombre d'opération inférieur à celui donnée théoriquement (voir le paradoxe des dates d'anniversaires).

        Par contre, fabriquer un fichier avec une somme md5 donné, il n'y a rien là dessus à ma connaissance, et même si ca existait, pour que ce fichier contienne ce qu'on veux, laisse tomber, déjà, pour avoir un fichier avec la même somme md5 qui soit réellement un tar.gz, ca doit être très très très dur...

        Donc pas vraiment de risque avec le md5 pour cette utilisation, même s'il est vrai que ca coute pas beaucoup plus cher de mettre les autres hashs en même temps.
        • [^] # Re: Rapport avec la faiblesse de MD5?

          Posté par  (site web personnel) . Évalué à 1.

          déjà, pour avoir un fichier avec la même somme md5 qui soit réellement un tar.gz, ca doit être très très très dur...

          C'est fait ici pour des archives autoextractibles : http://eprint.iacr.org/2004/356
          Et je suppose que ça pourrait être transposé très facilement aux tarballs vu que tar ignore les données consécutives à celles qu'il est censé traité.

          Le papier présente aussi un schéma d'attaque. En résumé :
          Le gars qui veut détruire le monde crée un programme indispensable et le distribue avec à la fin un padding qui permet une collision.
          Le code est audité par Théo de Raadt, Bruce Schneier et Superman, tout va bien.
          Il dit à son ftp de publier une version qui installe un ver quand c'est un packageur qui la télécharge (en utilisant une liste d'IPs, l'user agent ou ce qu'il veut). Cette version a le même MD5.
          Il détruit le monde.
        • [^] # Re: Rapport avec la faiblesse de MD5?

          Posté par  (site web personnel) . Évalué à 1.

          déjà, pour avoir un fichier avec la même somme md5 qui soit réellement un tar.gz, ca doit être très très très dur...

          C'est fait ici pour des archives autoextractibles : http://eprint.iacr.org/2004/356
          Et je suppose que ça pourrait être transposé très facilement aux targz vu que tar ignore les données consécutives à celles qu'il est censé traité.

          Le papier présente aussi un schéma d'attaque. En résumé :
          Le méchant qui veut détruire le monde crée un programme indispensable et le distribue avec à la fin un padding qui permet une collision.
          Le code est audité par Théo de Raadt, Bruce Schneier et Superman, tout va bien.
          Le méchant dit à son ftp de publier une version qui installe un ver quand c'est un packageur ou un système de build qui la télécharge (en ayant une liste d'IPs ou avec l'user agent).
          Il détruit le monde.
        • [^] # Re: Rapport avec la faiblesse de MD5?

          Posté par  . Évalué à 1.

          Ce que tu dis est facilement réalisable... Il suffit de trouver de la place pour une suite de bits suffisament grande dans le fichier (il y a tellement de formats de fichiers avec des tronçons inutilisés...)
          Je te renvois pour cela à cette étude:
          http://www.win.tue.nl/hashclash/Nostradamus/
          Des chercheurs ont créé et publié 10 fichiers pdf au contenu différent avec la même somme MD5.

          Donc oui, MD5 est mort et enterré (du moins pour la sécurité).
  • # Commentaire supprimé

    Posté par  . Évalué à 1.

    Ce commentaire a été supprimé par l’équipe de modération.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.