• [^] # Re: A ceux qui critiquent....

    Posté par . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 10.

    l'infrastructure n'a pas été compromise (à ma connaissance)

    Affirmer qu'un serveur avec autant de services qui tournent sur des versions obsolètes n'a pas été compromis, c'est soit de la naïveté, soit c'est prendre ouvertement les gens pour des cons.

    J'ai fait le test, chrono en main, il m'a fallu 10 minutes à peine pour obtenir un shell sur votre serveur (que j'ai immédiatement fermé car mon but n'est pas d'aller plus loin). Je triche un peu car je bosse dans le domaine (pen testing) et j'ai donc des outils déjà tout prêts, mais j'estime que des milliers de gens en sont capables (avec un peu plus de temps peut-être). Il n'y a rien de bien sorcier, il suffit de piocher dans les nombreuses vulnérabilités des services qui tournent sur la machine sur les 5 dernières années (mediawiki, apache, php, les nombreux formats d'upload accepté par le wiki, etc ...), essayer, et hop un shell qui s'ouvre.