Vous êtes ici Forums
  |  Connexion
 Forums
HomeHomeForums DNNForums DNNInstallationInstallationOracle Padding vulnerability on DotNetNuke.comOracle Padding vulnerability on DotNetNuke.com
Précédente
 
Suivante
Nouveau message
05/10/2010 17:27
 
michelv@liberty-one.com
Contributeur de niveau 5


Inscrit(e) le : 25/06/2005
104 messages 
vous avez remarqué le problème de dnn.com impossible d'acces pendant QQ jours, le message etait le suivant pendant un moment :
This site is offline for routine maintenance; we apologize for any inconvenience.
On Friday October 1, while performing a routine review of our server logs we discovered
evidence that would lead us to believe that a user may have exploited the Oracle Padding
vulnerability on DotNetNuke.com to elevate permissions on their account and gain host
access. Having identified the intrusion we took immediate steps to take the site offline for the
weekend so we could further harden our infrastructure as well as assess the full extent of the
intrusion and make the needed changes to get the site back up and operating.
Since the Oracle Padding vulnerability allows a user to compromise the Machinekey for the
website, which is used as part of encrypting user's passwords, we knew that we would need
to change the MachineKey value. While this sounds simple, it actually turned out to be a
much larger task than initially anticipated. Over the weekend, DotNetNuke engineers worked
to develop a tool to re-encrypt all user accounts using the new machine key. Unfortunately
due to the number of user accounts on DotNetNuke.com, this process was not able to finish
running by the end of the weekend.
Based on the current processing speed and the remaining accounts to be processed we
anticipate being back online later today.
 
Nouveau message
05/10/2010 18:13
 
ploum
Contributeur de niveau 1

Inscrit(e) le : 19/04/2006
837 messages 
Bonjour Michel,

Effectivement, le site DNN US n'était pas accessible pendant 3 jours suite à une possible attaque. J'ai mentionné ce risque il a plus de 15 jours dans ce post et cela est spécifié sur la page d'accueil de DNN FR. Comme promis, j'ai tenu la communauté informé et à ce jour il faut absolument appliquer le dernier patch de sécurité diffusé par Microsoft Windows Update pour se prémunir définitivement contre cette attaque. Les conseils prodigués dans ce post (modifications du fichier web.config) ne sont donc plus d'actualité ! D'ailleurs, j'avais bien spécifié que cette recommendation de Microsoft n'était pas la Panacée. Raison pour laquelle Microsoft a dù réviser le code du framework .Net et diffuser ce correctif.

En fin de semaine dernière, l'équipe en charge de la sécurité chez DotNetNuke Corp a constaté une possible intrusion sur le site US (we discovered evidence that would lead us to believe that a user may have exploited the Oracle Padding vulnerability). Ceci ayant pour effet un risque d'élévation d'un compte utilisateur de base en SuperUser (compte host). Pour éviter les problèmes, ils ont dù arrêter le site pour décrypter puis encrypter les mots de passe des 800 000 et quelques comptes avec un nouveau jeu de clefs. Pour bien comprendre le problème voici les étapes :
  1. Lire les données d'un compte via l'API DNN.
  2. Décrypter le mot de passe avec l'ancien jeu de clefs.
  3. Encrypter le mot de passe avec le nouveau jeu de clefs.
  4. Ecrire les données du compte.
  5. Réperter l'opération 800 000 et quelques fois !

Même si la mise à jour d'un compte ne prend qu'une seconde (par hypothèse sur une bonne infrastructure), cela ferait la bagatelle de plus de 9 jours de traitement sans discontinuer. Alors comment ont-ils fait pour que cela ne dure "que" 3 jours ? Ils ont simplement mutualisé les ressources de plusieurs ordinateurs (au moins 3, plus probablement 4 ou 5).

La morale de cette histoire est qu'il faut toujours :

  1. Appliquer les régles de configuration optimale d'IIS (beaucoup de gens négligent ce point).
  2. Utiliser un bon Anti-Virus sur son serveur (cela peut aider, mais pas toujours).
  3. Utiliser un bon Firewall, de préférence matériel capable de détecter les attaques de type DoS (Denial of Service), ou un détecteur d'intrusion.
  4. Appliquer les derniers patch de sécurité de Microsoft.
  5. Maintenir à jour son installation DotNetNuke avec la dernière version disponible.
  6. Lire ce forum et/ou le forum US.

Gilles
 
 Page 1 sur 1
Précédente
 
Suivante
HomeHomeForums DNNForums DNNInstallationInstallationOracle Padding vulnerability on DotNetNuke.comOracle Padding vulnerability on DotNetNuke.com


Accueil   |   Forums

Déclaration de confidentialité   |  Conditions d'utilisation

DotNetNuke est une marque enregistrée de DotNetNuke Corporation • dotnetnuke.fr et dnn.fr sont des noms de domaines de BSI