Sécurité

 

Faille de sécurité importante avec Plesk

Publié le 27-08-2007 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal


Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!


Note des lecteurs: 2.4/5

Un étudiant français découvre comment piéger une solution Internet utilisée par les plus gros hébergeurs dans le monde.

Spami a 19 ans, cet internaute français, étudiant, passionné d'informatique n'a rien d'un pirate. On peut même parler de White Hat. Il vient de mettre la main sur un problème qui pourrait devenir grave si les utilisateurs de la solution Plesk ne réagissent pas. Plesk est édité par la société SWsoft. C'est une solution complète choisie par les plus gros hébergeurs dans le monde. Son panneau de contrôle convient à la fois pour l'hébergement mutualisé, virtualisé et dédié. De plus, il est conçu pour faciliter la gestion et l'administration des sites Web. En effet, le panneau de contrôle Plesk automatise un grand nombre de tâches, permettant ainsi aux hébergeurs de réduire la consommation de ressources et les coûts d'exploitation. Dans le même temps, ils gagnent en rentabilité, en efficacité et répondent parfaitement aux exigences de leurs clients.
 
Spami a découvert, il y a quelques heures, comment il était possible de corrompre n'importe quel serveur. "Votre serveur pourrait tomber entre de mauvaise main, explique-t-il à la rédaction de zataz.com, C'est à peu près ce qui risque d'arriver si vous commandez un serveur dans quelques temps." Cet étudiant a découvert une "problème" de sécurité avec Plesk. On ne peut pas vraiment appeler ça une faille puisque le "trou" ne provient pas de Plesk lui même, mais plutôt de l'attribution des serveur sous Plesk par les sociétés d'hébergement tel que Dédibox, 1&1, ...

Avec la méthode de Spami, le pirate devient le maître de la machine. Certains vont annoncer que les CGV des sociétés ne sont pas responsables, ... Et si un pirate reproduisait la manipulation plusieurs fois, ce constituant ainsi un parc de serveur assez important pour lancer une attaque de type DDoS...  Ces sociétés seront responsables aux yeux de la Justice puisque c'est l'infrastructure qui est en défaut.

"Les solutions pour annuler ce problème pourraient être les suivantes, explique Spami, à la rédaction de zataz.com, Ne plus héberger avec Plesk ; Changer les identifiants par défaut manuellement et mettre les mêmes que sur les accès root ; Mettre un .htaccess à la racine avec les identifiant root pour empêcher le scanning et la pénétration de plesk vierge."
 
Une méthode qui semble être appliquable pour des centaines de société. Si ce n'est pas rapidement réglé, un chaos énorme risque d'apparaitre rapidement. Un simple script perl pourrait permettre de  scanner les serveurs en danger.

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

ISOC ECC contre le projet HADOPI, une opposition argumentée

La Coordination Européenne de l'Internet Society contre le projet HADOPI : une opposition argumentée.

Regarder gratuitement et légalement le nouveau film de Michael Moore

Le réalisateur américain Michael Moore va propose aux américains de visionner gratuitement et légalement sur Internet son prochain brulot cinématographique, Slacker Uprising.

Un virus sur le site du Nouvel Observateur

Étrange apparition sur le site officiel du journal Le Nouvel Observateur. Une alerte virus informatique inquiétante.

La France diffuse des brochures pour protéger les enfants sur Internet

La secrétaire d'État à la Famille, Nadine Morano, lance une campagne d'information via 4.5 millions de brochures afin de protéger les enfants sur Internet.

18 mois de prison pour une sale e-blague

Un étudiant écope de 18 mois de prison ferme pour avoir poster sur un site du gouvernement Chinois une fausse alerte au tremblement de terre.

Un pirate nord-coréen arrêté pour e-espionnage

Un internaute de 34 ans arrêté pour avoir orchestré un espionnage électronique très ciblé à l'encontre du Ministère de la Défense.

12 millions de nouvelles données bancaires dans la nature

En février dernier, une banque new-yorkaise annonçait avoir perdu 4 millions de données bancaires. Il semble que cela soit trois fois plus.

Des bulletins de votes optiques disparaissent en Floride

Les élections présidentielles américaines arrivent. Déjà les premiers problèmes informatiques annoncés.

Sur le même thème : Réseau - Sécurité

IPS de TippingPoint

Dassault Systèmes choisit la solution IPS de TippingPoint pour la protection de son réseau.

Network Security Planning Architecture

Des chercheurs du MIT américain mettent en place Network Security Planning Architecture, un outil capable de cartographier la menace numérique.

Loterie Microsoft

Nouvelle loterie signée Microsoft. Ne répondez pas, une arnaque qui pourrait vous coûter chére.

Des données sensibles de scientifiques sur le web

Exclu : Plusieurs centaines d'informations sensibles de chercheurs français, norvégiens, anglais, ... laissées sans protection sur Internet.

Première faille pour le navigateur Chrome

Exclu: A peine sorti est déjà sous les feux de la rampe des hackeurs et autres pirates informatiques. Une première faille découverte pour le navigateur Chrome de Google.

Les données du Prince William sur le P2P ?

Plusieurs centaines de dossiers scolaires appartenant à la County Public School Prince William sur le P2P.

Le retour du tueur à gages

Nouvelle variante du chantage par Internet vous annonçant l'arrivée d'un tueur à gages dans votre vie.

449 entreprise US ont perdus des infos en 2007

Près de 500 entreprises et agences gouvernementales américaines auraient perdu des informations en 2007. Seulement ?

Vos réactions ( 28 )

2 3 

 Ecrit par Guest le 27.08.2007 à 16h06 

#

Invités


Inscrit le 07-09-2008

Ou sont des preuves, des examples d'utilisation de "la méthode de Spami"?

 Ecrit par Guest le 27.08.2007 à 16h24 

#

Invités


Inscrit le 07-09-2008

Bonjour,
Notre rôle est d'alerter les lecteurs, par le biais d'une breve, pas de leur donner des clés qu'ils ne pourraient pas maitriser et employer à mauvaise fin. Les sociétés concernées, elles, ont reçu la méthode.

Cordialement

 Ecrit par Guest le 27.08.2007 à 17h31 

#

Invités


Inscrit le 07-09-2008

Tout simplement, je ne crois pas à cette information que vous donnez sans aucune preuve et sans aucune référence. C'est trop dur de dire "Ne plus héberger avec Plesk" sans preuves, étant basé uniquement sur une opinion de quelqu'un inconnu.

 Ecrit par Guest le 27.08.2007 à 17h35 

#

Invités


Inscrit le 07-09-2008

Oui, vous avez raison. Nous sommes un blog satirique et nous avons l'habitude de fournir de fausses informations !!!

 Ecrit par Guest le 27.08.2007 à 17h58 

#

Invités


Inscrit le 07-09-2008

Anton... juste un mot Have Fun

 Ecrit par Guest le 27.08.2007 à 18h14 

#

Invités


Inscrit le 07-09-2008

je comprend que plesk requiere un dos pour marcher donc avec un outil d'administration, comme il se trouve sous les dedibox ca marche smile.gif

 Ecrit par Guest le 27.08.2007 à 18h16 

#

Invités


Inscrit le 07-09-2008

Mais non, votre blog est vraiment utile, tas d'information utile. Merci n3w1xz!

 Ecrit par Guest le 27.08.2007 à 18h37 

#

Invités


Inscrit le 07-09-2008

Je comprends un peu Anton. Difficile d'adhérer à 100% à ce genre d'information, surtout pour quelques petits hébergeurs. Cependant, ce site révélant quasi-toujours des informations vraies et rationnelles, il y a d'infimes chances qu'il s'agissent d'un canular.
Sait-on si la société "SWSoft" a confirmé ? Y'a-t-il d'ores-et-déjà des réaction ?

 Ecrit par Guest le 27.08.2007 à 18h42 

#

Invités


Inscrit le 07-09-2008

Waouinnnn, zataz.com n'est pas un blog. Plus sérieusement, SWSoft a été contacté. Pas encore de réponse. L'auteur a contacté Dédibox qui ne semble pas avoir donné suite.

 Ecrit par Guest le 27.08.2007 à 19h25 

#

Invités


Inscrit le 07-09-2008

Anton,
j'ai put tester cette "faille" comme d'autre ici, et comme l'a dit spami entre de mauvaise main, ça peut faire quelques dégats.
"C'est trop dur de dire "Ne plus héberger avec Plesk" sans preuves, étant basé uniquement sur une opinion de quelqu'un inconnu."
cet inconnu a quand meme réussi à trouver la faille....

2 3 

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Rechercher dans les Alertes

Mots clés
  sur ZATAZ sur le web

Derniers communiqués de presse

StoneGate VPN SSL

Stonesoft intègre des méthodes d’authentification forte dans son appliance StoneGate VPN SSL. Afin de fournir une sécurité efficace, le constructeur finlandais enrichit son VPN SSL de l’authentification forte.

Security BOX version 7.0

Arkoon renforce la protection de l'information en entreprise avec Security BOX version 7.0. La nouvelle version Security BOX 7.0 d'Arkoon intègre le support de Microsoft Vista et renforce l'ergonomie de l'outil d'administration.

Challenge Google Android: Phonebook 2.0 parmi les lauréats

Lancé en novembre 2007 par Google, le concours « Android Developer Challenge » dévoile aujourd’hui ces 20 lauréats parmi lesquels figure la société française Voxmobili.

Stonesoft Virtual StoneGateTM certifiées pour VMware

Les solutions StoneGate protègent les réseaux d’entreprise et assurent la continuité de service dans les environnements physiques et virtuels

Stars-buzz.com

Regarder gratuitement et légalement le nouveau film de Michael Moore

Debout feignant d’américain ! Voilà un peu l’idée du prochain film de Michael Moore, Slacker Uprising. Un nouveau brulot du troublion de la politique US, Michael Moore. Après Bowling for Columbine (Armes aux USA), Fahrenheit 9/11 (Attentats du 11 septembre) ou encore Sicko (Les services sociaux et médiacaux américainsà, Michael Moore s’attaque une fois de [...]

Transporter 3: Jason Statham ne dort jamais ?

Mais à quoi tourne Jason Statham. La nouvelle star des films d’actions ne cesse de tourner et de s’afficher dans les salles de cinéma. Le beau gosse au dynasmisme à l’écran plus qu’évident vient de sortir un film Death Race tiré de jeux vidéo sauce course de voiture fusionné à Mad Max. Fin novembre, il [...]

New Look en perte de vitesse ?

Le magazine New Look proposera, dès ce vendredi, une playmate de choc pour son 300ème numéro français. Après la piscine de Loft Story. Après les vachettes d’Intervilles. Voici que Loana nous propose sa plastique très personnelle dans le magazine masculin. Après Cindy Sander en Juin, Loana en août. New Look va bientôt fermer avec une [...]

Kate Moss tout simplement sublime

La brindille ne voulait plus entendre parler de la presse. Plus d’interview, de photos. Plus rien avait-elle jurer. Quelques mois plus tard voilà la belle dans les page du magazine américain Interview. Kate Moss en a profité pour poser pour Mert& Marcus. Et là, pas de doute, ils ont sublimé cette brindille qui sait encore [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA