当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012705

漏洞标题:sourceforge韩国节点被入侵,对天朝影响很大

相关厂商:sourceforge

漏洞作者: 路人甲

提交时间:2012-09-25 12:45

修复时间:2012-09-25 12:45

公开时间:2012-09-25 12:45

漏洞类型:成功的入侵事件

危害等级:低

自评Rank:3

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-09-25: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-09-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

从微博上看到腾讯安全团队说sourceforge一些服务器被入侵,一些源码被植入后门,仔细研究了下,发现并非sourceforge被入侵,而是下面的韩国镜像节点提供商cdnetworks服务器存在问题

详细说明:

在sourceforge上下载源码时,会根据网络情况自动选择镜像节点下载,由于我国没有镜像服务器,所以会从最近的韩国的节点上下载,这次腾讯也发现有phpMyadmin源码被植入了后门的情况,我们经过分析发现其他的节点均不存在问题,只有韩国的cdnetworks提供的某些镜像中才存在问题

漏洞证明:

自动选择的韩国节点上下载phpMyadmin源码会发现存在后门

http://cdnetworks-kr-1.dl.sourceforge.net/project/phpmyadmin/phpMyAdmin/3.5.2.2/phpMyAdmin-3.5.2.2-all-languages.zip



时间比较早了,在8月份的时候应该就被更改过了,近期下载过pma的要小心了!但是并非所有的镜像都有问题,通过选择其他节点


验证后并非都有后门,而我们自动选择的却恰恰是有后门的源码!有后门的也正是cdnetworks这个韩国节点

修复方案:

韩国的安全我们知道一直都不是特别好的,希望韩国提升自身安全性,不要影响我们天朝,另外天朝也需要自力更生,建立个镜像节点吧,腾讯建立一个就很赞!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-09-25 12:46 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    棒子是不是故意的啊??

  2. 2012-09-25 12:49 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    难说~~

  3. 2012-09-25 12:50 | Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)

    我是来看标题的

  4. 2012-09-25 12:57 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    关注一下

  5. 2012-09-25 13:05 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    神奇的路人甲...

  6. 2012-09-25 13:09 | 小禾吉 ( 路人 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系,宇宙很可...)

    要粗大事了?

  7. 2012-09-25 13:18 | 混世魔王 ( 路人 | Rank:26 漏洞数:5 | 欢迎友情链接http://26836659.blogcn.com)

    这不算什么。sourceforge 的主美国站,我都日进去了。只是没公布而已。

  8. 2012-09-25 13:28 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    @混世魔王 哦,炫耀党

  9. 2012-09-25 13:30 | Spy4man ( 路人 | Rank:0 漏洞数:1 | 职业运维师..)

    @混世魔王 咳咳...

  10. 2012-09-25 14:10 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    话说 SF 的开源精神灰常的强大"SourceForge空间可任意查看服务器文件导致密码泄露事件1、SF空间的此“漏洞”由来已久。查了一下网上的资料,2010-08-18有网站就公布了“SourceForge某站点存在任意读取本地文件漏洞”。2、漏洞类型:任意文件遍历/下载。由于sourceForge使用nfs集中管理所有网站文件,可能导致产生大量的敏感信息泄露。3、当然后来SF空间修补了这个漏洞,但是SourceForge空间可查看任意文件一直没有改变,因为官方称SourceForge是一个开源免费平台。4、所有的放在SF空间上的程序和文件都是可以自由免费下载的。这一开源分享的“精神”可佳,可惜如果我们将一些敏感的信息的文件放在SF空间上就有可能遭受损失了。5、只要改变路径就能查看一切项目的任何文件,就算此项目不是自己创建的,这意味着将网站部署于SourceForge,任何其他用户都能对你的数据库进行操作。6、而且config文件里的密码如果是你常用密码的话... 某些“好奇之士” 难道不会去尝试去登录一下你的Godaddy空间或者其它的平台吗? "

  11. 2012-09-25 14:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @HuGtion 问题是这次的问题不再Sourceforge 而在于韩国节点

  12. 2012-09-25 14:16 | j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)

    楼主是雷锋啊。。

  13. 2012-09-25 15:01 | 神刀 ( 路人 | Rank:23 漏洞数:3 | www.shellsec.com内射那么牛,虾米没妹子?)

    我是看标题进来的

  14. 2012-09-25 15:25 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    自建结点??你说备案怎么办呢。。国人都被难死了,别说老外了

  15. 2012-09-25 15:27 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    这次玩大了。。这个漏洞。。受影响估计有很多人的。。包括我自己的多个站点都可能存在这个问题。。自查去了

  16. 2012-09-25 16:36 | CHForce ( 路人 | Rank:0 漏洞数:1 | 路过不代表我冷漠,走路不代表没有马)

    哈哈。我是用源代码,都是学习,很少直接用的

  17. 2012-09-25 22:06 | Nimda ( 路人 | Rank:13 漏洞数:3 | 人的欲望就是一个超级大坑,永远也填不满。...)

    刚下了个pma,确实如洞主所说,不过为毛插马的货没藏在其他文件里?。。。纳闷球中

  18. 2012-09-26 00:05 | 北北 ( 路人 | Rank:25 漏洞数:5 | 广告位招租。有阿里、万网的漏洞私信给我有...)

    之前都把SF墙了,咋还可能国内放节点~ 你看看那个牛X的一句话,目测国人干的。

  19. 2012-09-26 13:15 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    @蟋蟀哥哥 蛋疼了吧

  20. 2012-09-26 13:35 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @Mujj 自查了的。。没有中招