Recientemente se ha publicado una noticia importante para todos los usuarios que hayan descargado el paquete Postnuke 0.750 desde postnuke.com entre el Domingo (24.Oct) a las 23:50 GMT hasta el Martes (26.Oct) a las 8:30 GMT.
Según comunica el Equipo de Seguridad de Postnuke, un grupo de hackers hackearon sus sistema de descargas sustituyendo la dirección de descarga del paquete Postnuke 0.750 por uno modificado.
Este error NO afecta al paquete Postnuke 0.750 descargado desde postnuke.com en fechas diferentes a las indicadas.
Vulnerabilidad:
Ataque hacker al software de descarga pafiledb. El objetivo fue cambiar la dirección de descarga del archivo Postnuke-0.750.zip por uno modificado.
DESCRIPCIÓN
Los cambios que hicieron los hackers fueron en 2 lugares:
- Durante el sistema de instalación de Postnuke se envían todos los datos (datos del servidor, datos de la base de datos, datos del usuario administrador) a otro servidor diferente.
- Intento de ejecución de comandos en el shell del servidor (si se permite)
SOLUCIÓN
Es necesaria una acción inmediata para todos aquellos que hayan descargado el paquete Postnuke-0750.zip desde postnuke.com entre el Domingo (24.Oct) a las 23:50 GMT hasta el Martes (26.Oct) a las 8:30 GMT.
ACCIONES NECESARIAS
- Borrar inmediatamente el archivo modificado /includes/pnAPI.php y sustituirlo por un archivo original.
- Comprobar los logs de acceso de su servidor y buscar cualquier entrada del tipo ‘oops=’. Si encontráis alguna entrada de ese tipo, contactar con el Equipo de Seguridad de Postnuke a través de http://forums.postnuke.com/index.php?module=vpContact enviando también el log de acceso para poder investigarlo.
- Cambiar los datos de tu base de datos, nombre de usuario, password y los datos del administrador de la web.
En el futuro, para evitar la descarga de archivos modificador, se debe realizar la comparación con el checksum MD5 con una fuente independiente (por ejemplo http://www.post-nuke.net) para asegurar la validez.
Fuente: PostNuke.
