[AlternC-dev] [Sécurité] Sortie d'AlternC 3.2.3 / 3.1.3

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Benjamin Sonntag benjamin at sonntag.fr
Ven 28 Nov 15:26:04 CET 2014


Bonjour à tous,

pour information, hier, est sorti AlternC 3.2.3 / 3.1.3

Les changements de cette version sont mineurs, mais concernent essentiellement la sécurité (et 2 ou 3 patchs de correctifs fonctionnels de la précédente)

- problème de sécurité dans les CRONS : il était possible à un compte alternc non-admin d'obtenir un accès shell sous alterncpanel (via l'authentification http basique)
- problème de sécurité dans le PANEL / Gestionnaire de fichier : il était possible à un compte alternc non-admin d'obtenir un accès shell sous alterncpanel (via copy ou suppression depuis le panel)
- problème de prédictibilité des mots de passe : les mots de passe générés par le panel pouvaient être déterminés par un attaquant écoutant sur le réseau 
- opendkim écoutait sur * au lieu de 127.0.0.1

Ces problèmes ont tous été résolus dans la version sortie hier.
Si vous ne pouvez pas mettre à jour, mettez à jour au moins m_bro.php, car les failles qui y sont présentes sont plutôt sérieuses.

encore merci à Antoine Beaupré et FSER pour leurs rapports de sécurité.

On prévoit un audit plus sérieux début 2015 ;) 

Tout est ici : http://debian.alternc.org/


@+

Benjamin Sonntag
AlternC / Octopuce


Plus d'informations sur la liste de diffusion Dev