Un ver qui exploite une faille d'un composant PHP

Une faille, découverte depuis le mois de juin et décrite par Secunia comme hautement critique, a été exploitée par certains personnages malintentionnés afin de créer un ver s’attaquant aux systèmes Linux.

La faille en question concerne le composant XML-RPC pour PHP. La fréquence à laquelle on retrouve des applications utilisant ce composant explique le caractère sérieux du ver : PostNuke, Drupal, b2evolution, Xoops, WordPress, PHPGroupWare ou encore TikiWiki. Dans une grande partie des cas, les applications ont été mises à jour et il suffit d’installer la version 1.1.1 du composant incriminé.

Le ver en question, nommé Lupper, s’attaquera quand même aux serveurs qui n’ont pas été mis à jour en envoyant des requêtes http malicieuses et de manière aveugle sur le port 80. Il faut tout de même que le serveur soit configuré pour autoriser les commandes shell externes et les téléchargements à distance de fichiers en environnement PHP/CGI. Les machines touchées iront rejoindre d’autres machines zombies.

Le risque est décrit comme faible, mais la mise à jour des logiciels touchés est plus que conseillée.

• 03 / 11 / 2005 : Sony fait machine arrière sur les rootkits
• 27 / 10 / 2005 : Le spam qui donne la chair de poule
• 24 / 10 / 2005 : Faille PnP de Microsoft : Mocbot débarque [MàJ]
• 21 / 10 / 2005 : 100 000 zombies, ça n'était pas assez
• 14 / 10 / 2005 : Un ver pour se faire des millions d'amis sur MySpace
• 10 / 10 / 2005 : Sober, un ver pas classe
• 07 / 10 / 2005 : Microsoft : nouveau bulletin de sécurité mardi 11 octobre
• 19 / 09 / 2005 : P2load.A, un ver à l'honneur de Google