Ho ricevuto questa segnalazione:

"Il mio collega mi ha fatto vedere un programma (Kerinci Tools) nel quale impostando l'indirizzo di un sito cerca tutte le vulnerabilità. 

Il risultato è riassunto nel file che avevo inviato a XXX: tramite le vulnerabilità di docebo il mio collega con tale programma è riuscito ad accedere al database di docebo a scaricare la tabella degli utenti e a decriptare la password di amministratore.

Mi diceva poi che una volta ottenuta la pwd di amministratore di docebo è possibile eseguire degli script php per ottenere il controllo della macchina."

Se necessario posso recuperare una copia del file citato nel messaggio che è stato indirizzato ad una mia collega.

Dati installazione:
docebo 3.6.0.3
php 5.1.6
sql 4.1.22-standard
patch sicurezza sql injection installata

ciao,
grazie per la segnalazione; in effetti è strano quanto da te evidenziato, soprattutto se era già installata la patch contro sql injection.. 

In ogni caso, come regola generale, sarebbe meglio tenere la password dell'utente amministratore diversa dalla password di ftp e tenere una password ancora diversa per la connessione al database.

Writted by: Veronese Clara

Se necessario posso recuperare una copia del file citato nel messaggio che è stato indirizzato ad una mia collega.

sì, se potessi inoltrarci il file ci sarebbe utile.. ce lo puoi inviare a  security@docebo.com, grazie.

ciao,
Giovanni.

Sarebbe utile anche capire come si comporta con la 3.6.0.4
Claudio 

Ho inviato il file a sicurezza@docebo.com.

In ogni caso, come regola generale, sarebbe meglio tenere la password dell'utente amministratore diversa dalla password di ftp e tenere una password ancora diversa per la connessione al database.

Written by: Derks Giovanni

In effetti ho fatto proprio come dici tu: i tre account sono totalmente distinti. Sono comunque preoccupata delle possibili conseguenze di questa falla anche se, per il momento, non mi sembra ci siano stati attacchi particolari. In questo periodo non mi è possibile installare la 3.6.0.4, devo aspettare il mese di giugno. Aspetto vostre (spero confortanti!) notizie.

Clara

Tranquilla, tra mezz'ora giovanni ti passa qualche file, poi torna a lavorare per me sennò lo picchio
Cla 

ciao,
dalle prove che abbiamo fatto ci risulta che sia nella versione rilasciata della 3.6.0.3 che nella 3.6.0.4 la vulnerabilità specifica sia già stata corretta, e infatti il tool che ci hai indicato restituisce "can not found sql injection bugs".

Per fare ulteriori verifiche potresti inviarci un file zip con la cartella doceboCms/modules/news/ della vostra installazione e fornirci i dati di diagnostica presenti in Admin > Configurazione > Opzioni principali > Diagnostica?

Grazie.

ciao,
Giovanni.

Ho inviato tutto. 
Ma se a voi risulta a posto, com'è che hanno ottenuto quei dati? La patch è installata dal mese di ottobre 2009 e non credo che il loro tentativo sia precedente.  

Writted by: Veronese Clara

Ma se a voi risulta a posto, com'è che hanno ottenuto quei dati? La patch è installata dal mese di ottobre 2009 e non credo che il loro tentativo sia precedente.  

ciao,
abbiamo ricevuto tutto, grazie. Stiamo cercando di capire anche noi come sia stato possibile, anche perché la configurazione del php etc. che ci hai riportato sembra più che ok.. Hai per caso modo di verificare se la configurazione del server e in particolare del php è stata modificata di recente? (cosa che ritengo improbabile perché di solito non viene modificata)

Giovanni.