Re: [gna-project] petzi:/root/ChangeLog -- recent changes

Wed, 01 Dec 2010 07:57:47 -0800 

On Wed, Dec 01, 2010 at 12:01:05PM +0100, Vincent Caron wrote:
> On Tue, 2010-11-30 at 21:12 +0100, Sylvain Beucler wrote:
> > On Tue, Nov 30, 2010 at 11:19:45AM +0100, Sylvain Beucler wrote:
> > > On Tue, Nov 30, 2010 at 10:59:38AM +0100, Mathieu Roy wrote:
> > > > Le mardi 30 novembre 2010, vous avez écrit :
> > > > > On Tue, Nov 30, 2010 at 10:49:01AM +0100, Mathieu Roy wrote:
> > > > > > Je trouve ça épatant qu'un problème d'injection SQL (toujours la 
> > > > > > même merde avec PHP depuis des années) puisse déborder là dessus.
> > > > > 
> > > > > :/
> > > > > 
> > > > > Du coup il va falloir envisager une migration anticipée vers Savane
> > > > > clean-up (comme on avait parlé au téléphone), vu que Gna! n'a pas le
> > > > > nettoyage de requêtes que j'avais fait (vraisemblablement
> > > > > incomplètement) il y a quelques années.  Vivement qu'on finisse le
> > > > > portage sur Django.
> > > > 
> > > > Oui. Ca fait combien de jours que c'est hors-ligne ?
> > > 
> > > Ben, depuis ce matin tres tot.
> > 
> > Tu aurais le temps de chercher des traces d'attaques sur Gna?
> > 
> > L'attaque de Savannah a démarrée le 24 Nov vers 12:59 UTC:
> 
>   Je peux jeter un coup d'oeil, mais c'est plus facile si on sait
> exactement quoi chercher. Vous avez les infos sur la vulnérabilité et
> l'attaque ? Sinon qui puis-je contacter côté Savannah ?

The vulnerability is very precisely here:
http://git.savannah.gnu.org/cgit/savane-cleanup.git/commit/?id=6c8981b0e30bafb2afa0451e196c8c9107c57108

At first glance the equivalent code at Gna! is not vulnerable.

Looking for union/UNION, or other traces of SQL injections, in the
Apache logs can help.

At Savannah the "brother website" feature allowed to trace "loic"'s
logins (session_uid=102), but that's not available at Gna.

Btw, the main issue is not the read-only SQL injection that allowed
outputing the encrypted passes, but the use of unsalted MD5 sums.  I
planned to move to crypt(3) with the Savane rewrite, but I should have
migrated earlier :/

I suggest we reset the passes at Gna! as well in any case.

-- 
Sylvain

_______________________________________________
Project mailing list
[email protected]
https://mail.gna.org/listinfo/project

Reply via email to