Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de aspyrine :
- [25/07@12:26] La surprise Nerim
- [24/07@21:09] Free, ou la gestion des fonctions interdites en PHP
- [27/05@21:07] Debian sid, Nautilus 2.6 et XFCE
- [22/05@14:52] Gestionnaire de fenêtre avec images PNG
- [29/04@12:28] Article sur Postfix+LDAP+Courier
- [28/04@11:00] Un article sur PHP et Mcrypt
- [06/03@21:57] Savoir si un CD est présent dans le lecteur
- [29/01@17:17] Hyper Threading et noyau 2.4
- [26/12@15:45] Une carte graphique pour nowel
- [28/11@07:47] Debian unstable ??
- [22/08@12:46] Quel hébergement pour des projets libres ?
Il y a dans toutes les versions, non pas un faille, mais un gouffre permettant à n'importe qui de se loguer et éventuellement mettre le boxon dans votre chez vous. C'est un erreur de débutant et je n'ai plus de peau sur le dos tant je me suis fouetté.
Tout est là :
http://www.dotclear.net/forum/read.php?7,4518(...)
> Lire le journal (17 commentaires, moyenne: 2,9).
En même temps ...
Je me disais "il n'est pas humain ce mec pour faire un pareil travail et nous pondre un outil aussi bon".
Maintenant je suis rassuré, t'es humain et donc pardonné :)
M
Merci
Merci pour l'information et pour la franchise. Et merci pour dotclear.
Mise à jour réalisée avec succès :)
Juste comme ça...
Simple curiosité mais... Peut-on en savoir un peu plus sur cette faille ?
Ca m'intéresse beaucoup car il m'arrive de coder en PHP de temps en temps et, bien que très sensible aux éventuels problèmes de sécurité, je dois reconnaitre que mon style de programmation relève plus de la "bidouille qui marche" plutot que du beau code bien clean et tout blindé de partout.
Alors, ça m'intéresse énormément de connaitre cette "erreur de débutant" histoire de voir si je ne fais pas la même chose lorsque je code du PHP (et puis c'est toujours bon d'apprendre de ses erreurs et de celles des autres ;).
-
[^]Re: Juste comme ça...
Posté par Maillequeule () le 18/09/2004 à 20:50. (lien). Évalué à 5.Il est vrai que l'interêt pédagogique est réel, mais il faut peut être laisser un peu de temps aux gens pour faire la mise à jour avant de la détailler :)
M
-
[^]Re: Juste comme ça...
Posté par Olivier Meunier (page perso, ) le 18/09/2004 à 21:47. (lien). Évalué à 8.J'aimerai bien en dire plus mais il y a près de 500 blogs dotclear (peut-être plus, peut-être moins) et je n'ai pas envie de leur faire ce second cadeau :-)
J'ai volontairement passé sous silence l'exploit et la nature détaillée de la faille pour cette raison.
Ça me rappelle ce débat qu'il y avait eu il y a peu sur la publication des exploits. S'il est clair qu'ils ont un grand intérêt pédagogique, c'est irresponsable de les publier, du moins dans l'immédiat.
Bref, on en reparle dans 2 mois ;-)-
[^]Re: Juste comme ça...
Posté par cykl (Jabber id, ) le 18/09/2004 à 23:03. (lien). Évalué à 0.Bhaaa on va differ c'est pas tres grave, ca prendra juste un peu plus de temps :-)
-
[+] [^]Re: Juste comme ça...
Posté par cykl (Jabber id, ) le 18/09/2004 à 23:22. (lien). Évalué à -2.Ayé j'ai trouvé effectivement c'est con. Enfin tu pourrais expliquer ce que c'est; car tu donnes trop de renseignements sur ta page (sans fournir l'exploit bien sur).
Differ 4000 lignes a la recherche d'une faille c'est pas rapide, mais differ 2 fonctions ca prend 3 minutes surtout que c'est pas bien compliqué a comprendre. Sur ce je vais essayer de voir si ca marche :-p
Notons qu'il existe quelques bons documents sur la programmation securisee en php, et que la meilleur technique pour apprendre a faire moins de connerie est de lire bugtraq ou quelques chose comme ca, et de regarder la tete des failles trouvees et de leur exploitation. Ca permet de decouvrir plein de choses auxquelles on ne penserait pas forcement.-
[+] [^]Re: Juste comme ça...
Posté par ASpirit () le 18/09/2004 à 23:26. (lien). Évalué à -3.tu donnes trop de renseignements sur ta page
Ce qui est génial c'est le gars qui en donne encore plus ! Histoire que ceux qui cherchaient et qui s'étaient découragés s'y remettent !
Ce genre de message doit être passé en privé ! Pas à la suite de l'article annonçant la faille !
Je pense que la meilleure chose à faire, pour les modérateurs, est de virer ce post...-
[^]Re: Juste comme ça...
Posté par Maillequeule () le 18/09/2004 à 23:45. (lien). Évalué à 10.Bah, il ne faut pas être naif non plus ...
Tout équipe qui annonce une mise à jour suite à un problème de sécurité d'un logiciel dont tu possèdes les sources te permet de penser à comparer avec la version n-1
Quand il y a un accès à un CVS c'est encore plus rapide ...
Je l'ai fait aussi par curiosité en début de soirée, et je ne doute pas que des dizaines d'autres personnes aussi. Ca ne changera rien de virer le post.
Les personnes à la recherche d'une faille à exploiter se contentent de l'annonce, pas besoin d'indices ensuite malheureusement. Il faut juste espérer que les gens vont mettre à jour assez vite.
M
-
-
[^]Re: Juste comme ça...
Posté par fabien () le 19/09/2004 à 21:22. (lien). Évalué à 1.si tu a quelques URL de ces fameux "bon documents sur la programmation securisee en php" je suis interressé,
merci.-
[^]Re: Juste comme ça...
Posté par L () le 19/09/2004 à 21:47. (lien). Évalué à 9.Quelques documents sur les bonnes pratiques de base :
-> http://securephp.damonkohler.com/index.php/Main_Page(...)
-> http://www.developer.com/lang/article.php/918141(...)
-> http://www.developer.com/lang/article.php/922871(...)
-> http://www.linuxjournal.com/article.php?sid=6061(...)
-> http://www.ilovejackdaniels.com/php/writing-secure-php/(...)
-> http://www.zend.com/zend/art/mistake1.php(...)
-
-
-
[^]Re: Juste comme ça...
Posté par matveii (page perso, ) le 20/09/2004 à 10:54. (lien). Évalué à 1.bonne idée mais differ avec une ancienne version de dotclear ...
Or les anciennes versions ne sont pas téléchargeables ...
Donc ça va ! Sauf ceux qui ont déja downloadé dotclear avant ;)-
[^]Re: Juste comme ça...
Posté par Maxx () le 20/09/2004 à 12:19. (lien). Évalué à 0.Bah ué... mais au final...
Faut être vraiment mal intentionné (ou c*n ?) pour aller differ et vouloir faire ch*er 500 blogs (à tout casser)...-
[^]Re: Juste comme ça...
Posté par cykl (Jabber id, ) le 20/09/2004 à 13:34. (lien). Évalué à 3.Tu es au courant que ce n'est pas par ce que tu t'amuses a trouver les failles que tu vas faire chier le monde ?
J'ai teste ma theorie sur http://127.0.0.1,(...) ca marche je suis content. Apres aller exploser les blogs de X ou Y je m'en bas les couilles grave. Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.
Et au passage ce sont ces meme gens cons ou mal intentionnés qui te permettent d'ecrire des choses aussi interessantes que http://linuxfr.org/~maxxyme/15389.html(...) en auditant les logiciels. Par ce que bon je sais pas si tu es au courant mais des failles y'en a partout. Je te conseil meme de regarder les changelogs d'apache.-
[^]Re: Juste comme ça...
Posté par Maxx () le 21/09/2004 à 09:57. (lien). Évalué à 2.Tu es au courant que ce n'est pas par ce que tu t'amuses a trouver les failles que tu vas faire chier le monde ?
(...)
Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.
Ah certainement pas, je pense être davantage sensibilisé aux problèmes de sécurité (dans les applications web notamment), qu'un certain nombre de mes camarades de promotion (je sors d'une école d'informatique).
Simplement ce que j'avais voulu souligner c'est que ça ne servait à rien de dire, ah bah non on ne dit rien sur la faille... y'a quand même 500 personnes qui utilisent DotClear... oué euh moyen là quand même...
Alors ok, ne rien dire sur la faille, ça oblige les gens intéressés à la chercher au lieu de lire "bêtement" une doc dessus, mais bon au final, qu'est-ce qu'on y gagne ?
Je pourrais citer au moins un site de sécurité informatique (français) qui publie des exploits, et là... c'est vraiment l'exploit brut de fonderie, pas d'explication sur la faille exploitée.
-
-
-
-
-
Autres liens et ressources php/sécurité
En French
http://www.phpsecure.info/(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://fr.php.net/manual/fr/security.php(...)
In Anglais
http://www.phpadvisory.com/(...)
http://securephp.damonkohler.com/(...)
http://wact.sourceforge.net/index.php/PhpApplicationSecurity(...)
Cette page a été générée par Templeet en 0.077s (dont 0.0065 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.