Sortie de PmWiki 2.2.36

Posté par . Édité par Nÿco, Benoît Sibaud, Malicia et Xavier Claude. Modéré par Nÿco. Licence CC by-sa
Tags :
14
2
jan.
2012
PHP

PmWiki, le système de gestion de contenu écrit en PHP par Patrick Michaud, a eu une mise à jour un peu avant la fin de l'année 2011, le 28 décembre. Pour la présentation plus détaillée du logiciel et de ses particularités, nous vous renvoyons vers cette dépêche datant de juillet dernier.

Il faut savoir que les mises à jour de PmWiki étant assez régulières (une ou deux fois par mois en moyenne), selon la méthode du Release early, release often, il n'est pas vraiment nécessaire de détailler tout ce qui s'est passé depuis la dernière dépêche, car en général il s'agit de correctifs mineurs et d'amélioration de la documentation. Depuis quelques versions, l'équipe de développeurs, menée par Petko Yotov, s'est surtout attachée à améliorer la gestion de l'UTF-8, notamment pour la migration de contenus étant encore en iso-8859.

Néanmoins, la version précédente 2.2.35 mérite que l'on s'y arrête un peu plus, car elle corrige une importante faille de sécurité PHP par injection potentielle de code malveillant.

Aussi, si vous avez un site qui traîne avec une ancienne version de PmWiki, il est conseillé de faire dès que possible une mise à jour vers la dernière version.

La mise à jour est aisée et détaillée sur le site :

  • vérification des dernières notes de version, et sauvegarde conseillée de votre installation courante ;
  • téléchargement et extraction de la dernière version de PmWiki ;
  • copie des fichiers extraits dans votre installation : les dossiers wiki.d et local, qui contiennent respectivement vos données et votre configuration personnalisée, ne seront pas affectés.
  • # et un PmWiki tout chaud un

    Posté par (page perso) . Évalué à 2.

    Voila qui tombe bien j'ai justement un Pmwiki à installer et un autre à mettre à jour.

    Comme toujours avec PmWiki les mises à jours sont très simple à faire, les mauvaises surprises sont rare.

    Libre un jours libre toujours

  • # attaques sur les installations pmwiki?

    Posté par . Évalué à 1.

    Bonjour,

    Pmwiki motorisait mon site depuis 2007: après une mise à jour (sans aucun problème) il y a peu, j'ai subi des attaques et l'installation d'un rootkit sur mon serveur (j'ai tout réinstallé). Les logs montrent bien une attaque spécifique sur pmwiki.

    J'ai donc attendu le dernier moment pour installer le nouveau pmwiki: il n'a pas fallu une minute pour que quelqu'un pénètre sur mon site et commence à modifier le wiki ... je n'ai même pas eu le temps de mettre en place les mots de passe.

    Je suis repassé sur un site statique :).

    C'est dommage, car Pmwiki marche bien.

    Je précise que mon serveur est sécurisé (dans la mesure de mes moyens et connaissances: iptables, failtoban , droits sur les fichiers ...)

    Il y a certainement un moyen pour contrer ces attaques, mais je ne le connais pas.

    Apparemment, la vieille version de 2007 n'était pas sensible à ces attaques.

    Bonne journée à tous.

    • [^] # Re: attaques sur les installations pmwiki?

      Posté par . Évalué à 2.

      Apparemment, la vieille version de 2007 n'était pas sensible à ces attaques.

      Et celle que tu avais remise, était-ce une version précédant la 2.2.35 (celle qui corrige justement une faille) ou pas ?

      Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

      • [^] # Re: attaques sur les installations pmwiki?

        Posté par . Évalué à 3.

        je n'ai même pas eu le temps de mettre en place les mots de passe.

        justement, l'attaque s'est peut-être faite sur le mot de passe par défaut ?
        Peut-être qu'un robot (ou un attaquant ciblé) avait détecté que tu avais pmwiki et testait régulièrement ton installation ?

        En plus normalement quand tu fais une mise à jour, tu gardes le fichier local/config.php donc en toute logique tu n'aurais pas eu à remettre un mot de passe.

        Souvent pour une mise à jour de pmwiki, je fais un diff (avec meld par exemple, c'est visuel et pratique) du fichier de configuration en modèle, avec celui que j'ai en production, pour voir les ajustements qui auraient pu être faits depuis.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: attaques sur les installations pmwiki?

        Posté par . Évalué à 1. Dernière modification le 03/01/12 à 09:54.

        Je regarderai la version ce soir ...

        C'était visiblement un robot .....

        • [^] # Re: attaques sur les installations pmwiki?

          Posté par . Évalué à 2.

          Cela serait effectivement bien de savoir le moment de la 1ère mise à jour, ainsi que la dernière version installée.

          Je ne sais pas si la faille mentionnée permettait de prendre le contrôle de tout le serveur et d'installer un rootkit comme cela t'a été fait. On peut aussi imaginer que le serveur ayant été pénétré, il a été possible de récupérer ton mot de passe dans le fichier de configuration, et de réattaquer ensuite lors de la seconde mise à jour.
          Peut-être également que les fichiers du site ont été modifiés pour permettre la modification avec un autre mot de passe. Lors de la réinstallation, c'est ce mot de passe qui aurait pu être utilisé. Voir http://www.pmwiki.org/wiki/PmWiki/Passwords pour cela (3ème point, modification du mot de passe avec attr)

          En tout état de cause, c'est pas mal d'en informer la mailing list pour avoir leur expertise :
          http://www.pmwiki.org/wiki/PmWiki/MailingLists

          Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

          • [^] # Re: attaques sur les installations pmwiki?

            Posté par . Évalué à 1.

            Bonsoir,

            ce qui est étonnant, c'est que l'attaque ait pu avoir lieu sur un pmwiki tout neuf sur un serveur tout neuf ;).

            Ce pmwiki n'était pas encore configuré et moins d'une minute après installation, un robot avait réussi à y entrer. Je n'ai juste pas eu le temps d'y mettre un mot de passe ...

            Sur le vieux serveur, j'avais fait une mise à jour, mais comme il y avait peut-être des résidus des anciennes attaques, j'ai voulu partir sur de nouvelles bases. J'ai tout de même constaté qu'il y avait des attaques systématiques sur les répertoires usuels d'installation de pmwiki. (et plus exactement sur la partie édition)

            J'ai les logs des attaques anciennes du vieux serveur (j'ai sauvé l'intégralité du vieux serveur), et je regarderai en détail.

            Quant à la version, c'est une version que j'ai prise les 10 derniers jours de décembre.

            Je pense tout de même que pmwiki devrait être blindé contre toute effraction avant configuration. Après c'est du ressort de celui qui installe.

            Je vais voir et donner les détails sur la mailing liste ce weekend

            • [^] # Re: attaques sur les installations pmwiki?

              Posté par . Évalué à 2.

              ok, je crois avoir compris.

              tu as fais une mise à jour vers une version plus récente, mais présentant peut-être une faille de sécurité. Ou bien ton serveur a été corrompu d'une autre manière.

              Quoi qu'il en soit, si tu as réinstallé tout pmwiki sans réutiliser ta configuration de l'ancien site, dans l'installation de base, il n'y a pas de mot de passe. Si l' « attaque » a été aussi rapide, c'est possible que cela soit lié à ton IP qui était la même que sur l'ancien site déjà attaqué.

              Je pense tout de même que pmwiki devrait être blindé contre toute effraction avant configuration.

              En fait même si PmWiki peut plus qu'un simple wiki (tout comme wordpress est plus qu'un simple moteur de blog), PmWiki garde (à tort ou à raison, je pense que c'est un peu à tort), la philosophie wiki, c'est à dire que n'importe qui peut « contribuer » au nouveau wiki. Si tu veux mettre des barrières, il faut le faire dès l'installation (dans le fichier local/config.php). Quoi qu'il en soit, il y a un garde-fou tout de même, puisque l'historique du wiki est systématiquement archivé, ainsi même en cas de vandalisme, rien n'est vraiment perdu.

              Je pense que la doc d'installation devrait être plus explicite sur ce point, en indiquant clairement que le wiki de base est sans mot de passe.

              En tout cas, si tu as récupéré une version de PmWiki en décembre dernier, cela devait être la 2.2.35, qui corrige la faille. Avec un mot de passe, il ne devrait y avoir aucun souci pour ton site.

              Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Mise à jour

    Posté par . Évalué à 2.

    La procédure de mise à jour est plus détaillée en version anglaise.

    À part ça, la syntaxe de PmWiki est sympa (assez standard, mais un peu plus simple que les autres syntaxes de Wiki que j’ai vues, tout en étant très complète).
    Ah... si nous avions la même pour l’édition des comentaires !

    Théorie du pot-au-feu : « Tout milieu où existe une notion de hauteur (notamment les milieux économique, politique, professionnels) se comporte comme un pot-au-feu : les mauvaises graisses remontent. »

    • [^] # Re: Mise à jour

      Posté par . Évalué à 2.

      La procédure de mise à jour est plus détaillée en version anglaise.

      oui, effectivement, j'avais initialement mis la version anglaise, mais pour une fois qu'on a une version française d'une doc...

      À part ça, la syntaxe de PmWiki est sympa

      l'avantage de pmwiki est aussi qu'il est relativement simple d'adapter sa syntaxe préférée : http://www.pmwiki.org/wiki/Category/Markup

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.