On Wed, Dec 01, 2010 at 04:57:13PM +0100, Sylvain Beucler wrote: > On Wed, Dec 01, 2010 at 12:01:05PM +0100, Vincent Caron wrote: > > On Tue, 2010-11-30 at 21:12 +0100, Sylvain Beucler wrote: > > > On Tue, Nov 30, 2010 at 11:19:45AM +0100, Sylvain Beucler wrote: > > > > On Tue, Nov 30, 2010 at 10:59:38AM +0100, Mathieu Roy wrote: > > > > > Le mardi 30 novembre 2010, vous avez écrit : > > > > > > On Tue, Nov 30, 2010 at 10:49:01AM +0100, Mathieu Roy wrote: > > > > > > > Je trouve ça épatant qu'un problème d'injection SQL (toujours la > > > > > > > même merde avec PHP depuis des années) puisse déborder là dessus. > > > > > > > > > > > > :/ > > > > > > > > > > > > Du coup il va falloir envisager une migration anticipée vers Savane > > > > > > clean-up (comme on avait parlé au téléphone), vu que Gna! n'a pas le > > > > > > nettoyage de requêtes que j'avais fait (vraisemblablement > > > > > > incomplètement) il y a quelques années. Vivement qu'on finisse le > > > > > > portage sur Django. > > > > > > > > > > Oui. Ca fait combien de jours que c'est hors-ligne ? > > > > > > > > Ben, depuis ce matin tres tot. > > > > > > Tu aurais le temps de chercher des traces d'attaques sur Gna? > > > > > > L'attaque de Savannah a démarrée le 24 Nov vers 12:59 UTC: > > > > Je peux jeter un coup d'oeil, mais c'est plus facile si on sait > > exactement quoi chercher. Vous avez les infos sur la vulnérabilité et > > l'attaque ? Sinon qui puis-je contacter côté Savannah ? > > The vulnerability is very precisely here: > http://git.savannah.gnu.org/cgit/savane-cleanup.git/commit/?id=6c8981b0e30bafb2afa0451e196c8c9107c57108 > > At first glance the equivalent code at Gna! is not vulnerable. > > Looking for union/UNION, or other traces of SQL injections, in the > Apache logs can help. > > At Savannah the "brother website" feature allowed to trace "loic"'s > logins (session_uid=102), but that's not available at Gna. > > Btw, the main issue is not the read-only SQL injection that allowed > outputing the encrypted passes, but the use of unsalted MD5 sums. I > planned to move to crypt(3) with the Savane rewrite, but I should have > migrated earlier :/ > > I suggest we reset the passes at Gna! as well in any case.
I don't feel a lot of motivation here... Going to upgrade www and install Savane-cleanup on it. -- Sylvain _______________________________________________ Project mailing list [email protected] https://mail.gna.org/listinfo/project
