BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...
[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]
Aller plus loin
# Vive Dacode!!
Posté par Anonyme . Évalué à 1.
Et quoi? Poster à -1?? Euh... bon, oui d'accord.
Et hop, -1.
[^] # Re: Vive Dacode!!
Posté par Anonyme . Évalué à -10.
Bien sur. Apres 5 jours a essayer de l'installer ,et surtout de m'y connnecter en admin sans me faire traiter de sale gosse, j'ai laisse tombé. Personne n'ose utiliser un tel tas de merde et je le comprend. C'est sur que c'est pas demain la veille que l'on verra un security alert sur un truc utilisé par personnes.
Et on peut voter pour avoir des z'Xp.
Super, ca te permet de devenir un petit censeur faciste sans que cela se voit. T'es content, tu hurle de joies chaque fois que tu clique sur [-], bien caché derriere un anonymat qui permet de couvrir les terroristes.
Et on peut mouler dans la tribune!!
Super, vu le nombre de cons qu'on y trouve, je comprend tres bien que tu aimes retrouver tes semblables.
Et quoi? Poster à -1?? Euh... bon, oui d'accord.
Et en plus, tu as honte de ce que tu dis. Tu te met en anonyme, tu te -1. Vivement que l'on interdise le post anonyme ici, ca redeviendra lisible.
[^] # Re: Vive Dacode!!
Posté par Nico . Évalué à 1.
Je me souviens pas avoir lu ou entendu que DaCode etait facile à installer, et surtout accessible à n'importe qui ?
Faut savoir perseverer dans la vie, sinon on obtient rien...
> Tu te met en anonyme, tu te -1
Meme remarque pour toi...
[^] # Re: Vive Dacode!!
Posté par Wawet76 . Évalué à 5.
Il faut juste :
- Penser à regarder la doc dans le repertoire txt et non HTML. (z'auriez pu prévenir dans le fichier README ou INSTALL, parceque quand ya plusieurs formats on s'attends à avoir la même chose partout. (quand c'est généré à partir d'un source xml))
- Connaitre le mot de passe admin.
Ca a peut-être changé depuis (j'avais fait la remarque sur le site de Dacode), mais le seul endroit ou apparaissait le mot de passe par défaut était le script qui initialise la base... Pas simple quand on ne pense pas à allez voir là-dedans, mais j'ai trouvé la réponse en 5mn chrono sur la tribune.
Question vulnérabilité... On ne peut pas comparer DaCode et PHPNuke. Si autant de gens se penchait sur DaCode que sur PHPNuke, je pense qu'il y aurait pas mal de découvertes rigolotes non ?
C'est comme si je vous disais que mon serveur ftp que j'ai fait chez moi dans mon coin est plus securisé que wuftpd sous prétexte que BugTrack n'a jamais parlé de mon soft...
[^] # Re: Vive Dacode!!
Posté par Anonyme . Évalué à 0.
Ca a peut-être changé depuis (j'avais fait la remarque sur le site de Dacode), mais le seul endroit ou apparaissait le mot de passe par défaut était le script qui initialise la base... Pas simple quand on ne pense pas à allez voir là-dedans, mais j'ai trouvé la réponse en 5mn chrono sur la tribune.
Je viens de récupérer une version CVS, ben, y'a pas de mot de passe admin. Et comme indiqué dans la faq html, faut faire un "j'ai oublié mon pass" pour le recevoir. C'est pas très pratique, mais ça a l'air plus sécure.
[^] # Re: Vive Dacode!!
Posté par un nain_connu . Évalué à -1.
J'aurais tendance à plus faire confiance au tien qu'à wu-ftpd qui est tout sauf secure :-)
[^] # Re: Vive Dacode!!
Posté par Beurt . Évalué à 6.
Je ne connais rien au PHP et à MYSQL (rien de chez rien: je n'ai jamais rien lu sur la question) et très peu le HTML (juste de quoi faire des gras/italiques/soulignés dans les commentaires de LinuxFr) et pourtant j'ai réussi avec succès à l'installer et à faire un thème pour daCode (voir l'url de l'en-tête de ce commentaire).
Je crois donc que tu n'as pas lu la doc pas-à-pas.txt pour les débiles comme toi (et moi), car avec son aide installer daCode est un jeu d'enfant.
Pour en revenir aux fonctionnalités de daCode, j'espère vivement que les XP ne seront pas présents dans la future version ! Trop compliqué pour les utilisateurs !
Dernière chose:
Qu'en est-il de la sécurité dans daCode ?
[^] # Re: Vive Dacode!!
Posté par Netsabes . Évalué à 10.
L'installation de daCode n'est pas encore très simple, même si on ne peut pas vraiment dire que ce soit très compliqué non plus (remplir des variables dans un fichier de config, c'est quand même à la portée d'à peu près tout le monde a priori).
Le problème de la personne à laquelle tu réponds vient, je pense, d'une erreur dans la variable cookiedomain du fichier de config.
C'est dommage qu'il n'ait pas posté son problème sur dacode-user@linuxfr.org, on aurait pu l'aider rapidement.
Pour en revenir aux fonctionnalités de daCode, j'espère vivement que les XP ne seront pas présents dans la future version ! Trop compliqué pour les utilisateurs !
On peut choisir entre les deux types de modérations. Soit la modération classique avec des scoreurs prédéfinis, comme c'était le cas dans daCode 1.2.0 (et comme c'était le cas avant sur LinuxFR), soit la modération avec XPs.
Par défaut, c'est la modération classique. Ca s'édite avec la variable moderation_type, toujours dans le fichier de config.
Qu'en est-il de la sécurité dans daCode ?
Autant que je me souvienne, le seul possible problème de sécurité de daCode avait été réglé dans daCode 1.0.3, alors que daCode 1.2.0 était encore en Release Candidate. A priori, les problèmes de sécurités connus sont donc supprimés. Maintenant, il est toujours possible qu'un bug soit passé au travers.
Si quelqu'un en trouve, il est fortement recommandé qu'il le décrive sur dacode-bugs@linuxfr.org :)
[^] # Re: Vive Dacode!!
Posté par Pascal Terjan (site web personnel) . Évalué à 3.
Et il faut insister sur le "possible" parce que si je me souviens bien personne n'avait indiqué une manière d'exploiter la chose qui présente un probleme de sécurité...
[^] # Re: Vive Dacode!!
Posté par L.D. . Évalué à 1.
[^] # Re: Vive Dacode!!
Posté par Obsidian . Évalué à 0.
C'est beaucoup trop gros pour être sincère çà ! :-) Je pense que ce troll sert juste à faire baisser les XP de Anonyme !
Amitiés.
[^] # Re: Vive Dacode!!
Posté par woof . Évalué à 0.
Houhou hou, que je me marre :)
Le coup du "Sale gosse" c'est ptet parce-que y faut *PAS* accéder a admin/ directement?
Y'a la boite administration pour ca ..
> Super, ca te permet de devenir un petit censeur faciste sans que cela se voit.
1 petit con ne changera rien. Vu que rien que pour toi, y'a déja 18 votes ..
On trouve pas *que* des cons sur la tribune.
Et moi je poste a -1 paske je le vaux bien! (heu quoi? c con? ah ok, bon je change)
Et moi je poste a -1 paske je répond a un troll et que je suis tombé en plein dedans
# Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -10.
Que fait cette news ici ?
[^] # Re: Bonjour, je viens foutre la merde
Posté par Brice Favre (site web personnel) . Évalué à 0.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Lecoeur Loïc . Évalué à -4.
Mais tu as oublié de dire que emacs était pour les glands, que suse c'etait naze, que konqueror roulaize mieux que Mozilla ki sux, gnome etait pas assez convivial face a kde, que les drivers nvidia doivent etre en GPL, ke freebsd et trop dur a installer et que linus danse le french cancan avec Alan Cox.
bon, j'ai oublié pas mal trolls, mais c'est pas grave.
dommage qu'il y ait pas de case -10. C'est pas grave, je me met -1...
[^] # Re: Bonjour, je viens foutre la merde
Posté par Tutur . Évalué à -1.
Au fait c'est pour quand sur dacode?
[^] # Re: Bonjour, je viens foutre la merde
Posté par Nico . Évalué à -2.
Ce que la news vient faire ici ? Mettre en avant DaCode, tout simplement.
[^] # Re: Bonjour, je viens foutre la merde
Posté par JP . Évalué à 0.
J'ai lu plus haut, qu'il etait facile de la configurer, je veux bien vous croire mais si quelqu'un peut me fournir une code intéréssante dessus, je suis preneur.
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -1.
[^] # Bonjour, section anti-troll ; vos papiers SVP !
Posté par William Steve Applegate (site web personnel) . Évalué à 1.
Ah oui, au fait : je ne suis en aucun cas lié à l'équipe de LinuxFR et je ne défends certainement pas daCode, vu que je n'y participe pas, ni ne l'utilise (pour ceux que ça intéresse, en ce moment je suis en train d'essayer de rendre SPIP fully XHTML/CSS compliant. Dès que j'ai un truc valable, je le colle sur SourceForge et je poste une news ici). Voilà, voilà. Bon allez, je vous laisse troller tranquilles maintenant ;-)
Envoyé depuis mon PDP 11/70
[^] # Re: Bonjour, section anti-troll ; vos papiers SVP !
Posté par Netsabes . Évalué à 1.
Hmm, par hasard, tu ne saurais pas comment faire pour que le validator XHTML 1.0 Transitional du w3c ( http://validator.w3.org/(...) ) ne fasse plus d'erreur quand il y a un onMouseOver ou un onMouseOut dans un "a href" ?
Ca m'arrangerait beaucoup :)
[^] # Re: Bonjour, section anti-troll ; vos papiers SVP !
Posté par William Steve Applegate (site web personnel) . Évalué à 2.
Envoyé depuis mon PDP 11/70
[^] # Re: Bonjour, section anti-troll ; vos papiers SVP !
Posté par Netsabes . Évalué à 1.
En tout cas, merci beaucoup. C'était ta petite contribution à daCode :p
[^] # Re: Bonjour, section anti-troll ; vos papiers SVP !
Posté par Nico . Évalué à 1.
J'ai dit la meme chose que toi... en bref... faites gaffe à vous vous répondez quand meme.... ;))
Nico
[^] # Re: Bonjour, je viens foutre la merde
Posté par Anonyme . Évalué à -2.
fuck mandrake, et vive la lobotomie !!
(pathetics)
# Et voilà
Posté par Talou (site web personnel) . Évalué à 3.
Trollomètre au maximum pour cette news sur les défauts de la concurrence au coeur même d'un système dacode...
MDR
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.