Sécurité des blogs et wikis en entreprise : noubliez pas de surveiller le logiciel utilisé !
Oui, n’oubliez pas de surveiller régulièrement et automatiquement si possible les mises à jours de vos logiciels de blogs ou wikis car eux aussi, tout comme les applications web en général, sont fréquemment sensibles aux attaques via le web.
Le mieux est d’automatiser ce processus de surveillance, soit en vous inscrivant sur un flux RSS du développeur (s’il n’y en a pas…hem…) ou si vous préférez des moyens plus traditionnels, lui demander de vous avertir par courrier électronique dès qu’une mise à jour de sécurité est publiée.
En ne pensez pas que cela n'arrive qu'aux autres, même les grands y passent…comme le démontre un cas d’étude tout frais vécu par Novell :
(message communiqué le 4 octobre 2005)
Hi,
As you probably know, several Novell hosted web sites got defaced by
a vandal on the weekend.
The vandalized hosts wiki.novell.com, opensuse.org, and forge.novell.com
are actually virtual hosts living on one machine, making this one
affected machine.
The intruder gained access to the system by exploiting a known
vulnerability in the "Xoops" blog software installed on another
virtual host on this system (www.novell.com/prblogs/).
This software was not upgraded to the latest security fixed version.
The host affected is fully separate from our RPM and security fix
delivery machines, so the integrity of our distributions and
update repositories was not affected.
Sincerely,
Marcus Meissner, SUSE Security Team
Oula ! Ca me fait penser que j’ai une liste de bugs à vite corriger sur FutureBlogs ; )