Une mise à jour de sécurité de cette extension est disponible

Voici une triste histoire concernant le composant Collector, développé par un passionné de collections de voitures miniatures .

Il a bien bossé, et propose des versions pour Joomla 1.5 et 2.5. Il y a de la mise à jour dans l'air.

le site steevo.fr avant l'attaque

Sauf que l'équipe de choque de la sécurité Joomla! détecte de grosses failles le 23 janvier 2013

faille de sécurité composant Joomla Collector

De nombreux sites se font pirater de cette façon: il suffit  d'ajouter à l'adresse du site, par un simple copier-coller, le lien menant au fichier sensible.
Ensuite l'ensemble des dossiers du site s'affichent, avec la possibilité d'y  télécharger un fichier PHP, contenant des commandes Shell permettant de prendre la main sur le site.

accès aux dossiers du site Joomla

Pendant tout ce temps le développeur du composant semble répondre aux abonnés absents.
Bon en France c'est les vacances d'hiver. Peut-être qu'il est encore à Megève?

Du coup il est éjecté du Répertoire des Extensions Joomla! (JED)

collector n'apparait plus dans la JED

Finalement fin février son propre site (en 1.5) est défacé, voici ce qu'affiche sa page d'accueil :

attaque du site Joomla

Bon ce monsieur Iron n'a pas de mérite car l'exercice était quelque peu facile.

Enfin faute de réactivité, c'est le travail de toute une vie qui semble anéantie, sauf si monsieur Iron exige une rançon.

Peut-être sommes-nous retournés au temps des diligences ??

0
0
0
s2smodern