Je n'ai pas l'habitude d'annoncer les sorties de DotClear sur linuxfr mais pour celle-ci ça me semble plutôt important vu que quelques geeks notoires utilisent DotClear et lisent ces pages.
Il y a dans toutes les versions, non pas un faille, mais un gouffre permettant à n'importe qui de se loguer et éventuellement mettre le boxon dans votre chez vous. C'est un erreur de débutant et je n'ai plus de peau sur le dos tant je me suis fouetté.
Tout est là :
http://www.dotclear.net/forum/read.php?7,4518(...)
Journal DotClear 1.2 RC2
18
sept.
2004
# En même temps ...
Posté par Maillequeule . Évalué à 7.
Maintenant je suis rassuré, t'es humain et donc pardonné :)
M
# Merci
Posté par Infernal Quack (site web personnel) . Évalué à 5.
Mise à jour réalisée avec succès :)
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
# Juste comme ça...
Posté par GCN (site web personnel) . Évalué à 7.
Ca m'intéresse beaucoup car il m'arrive de coder en PHP de temps en temps et, bien que très sensible aux éventuels problèmes de sécurité, je dois reconnaitre que mon style de programmation relève plus de la "bidouille qui marche" plutot que du beau code bien clean et tout blindé de partout.
Alors, ça m'intéresse énormément de connaitre cette "erreur de débutant" histoire de voir si je ne fais pas la même chose lorsque je code du PHP (et puis c'est toujours bon d'apprendre de ses erreurs et de celles des autres ;).
[^] # Re: Juste comme ça...
Posté par Maillequeule . Évalué à 5.
M
[^] # Re: Juste comme ça...
Posté par Olivier Meunier (site web personnel) . Évalué à 8.
J'ai volontairement passé sous silence l'exploit et la nature détaillée de la faille pour cette raison.
Ça me rappelle ce débat qu'il y avait eu il y a peu sur la publication des exploits. S'il est clair qu'ils ont un grand intérêt pédagogique, c'est irresponsable de les publier, du moins dans l'immédiat.
Bref, on en reparle dans 2 mois ;-)
[^] # Re: Juste comme ça...
Posté par ckyl . Évalué à 0.
[^] # Re: Juste comme ça...
Posté par ckyl . Évalué à -2.
Differ 4000 lignes a la recherche d'une faille c'est pas rapide, mais differ 2 fonctions ca prend 3 minutes surtout que c'est pas bien compliqué a comprendre. Sur ce je vais essayer de voir si ca marche :-p
Notons qu'il existe quelques bons documents sur la programmation securisee en php, et que la meilleur technique pour apprendre a faire moins de connerie est de lire bugtraq ou quelques chose comme ca, et de regarder la tete des failles trouvees et de leur exploitation. Ca permet de decouvrir plein de choses auxquelles on ne penserait pas forcement.
[^] # Re: Juste comme ça...
Posté par ASpirit . Évalué à -3.
Ce qui est génial c'est le gars qui en donne encore plus ! Histoire que ceux qui cherchaient et qui s'étaient découragés s'y remettent !
Ce genre de message doit être passé en privé ! Pas à la suite de l'article annonçant la faille !
Je pense que la meilleure chose à faire, pour les modérateurs, est de virer ce post...
[^] # Re: Juste comme ça...
Posté par Maillequeule . Évalué à 10.
Tout équipe qui annonce une mise à jour suite à un problème de sécurité d'un logiciel dont tu possèdes les sources te permet de penser à comparer avec la version n-1
Quand il y a un accès à un CVS c'est encore plus rapide ...
Je l'ai fait aussi par curiosité en début de soirée, et je ne doute pas que des dizaines d'autres personnes aussi. Ca ne changera rien de virer le post.
Les personnes à la recherche d'une faille à exploiter se contentent de l'annonce, pas besoin d'indices ensuite malheureusement. Il faut juste espérer que les gens vont mettre à jour assez vite.
M
[^] # Re: Juste comme ça...
Posté par ASpirit . Évalué à -7.
1) il reproche d'en dire trop
2) il en dit encore plus
3) il est pas malin !
[^] # Re: Juste comme ça...
Posté par fabien . Évalué à 1.
merci.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 9.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Juste comme ça...
Posté par olympien . Évalué à 1.
Or les anciennes versions ne sont pas téléchargeables ...
Donc ça va ! Sauf ceux qui ont déja downloadé dotclear avant ;)
[^] # Re: Juste comme ça...
Posté par Maxx . Évalué à 0.
Faut être vraiment mal intentionné (ou c*n ?) pour aller differ et vouloir faire ch*er 500 blogs (à tout casser)...
[^] # Re: Juste comme ça...
Posté par ckyl . Évalué à 3.
J'ai teste ma theorie sur http://127.0.0.1,(...) ca marche je suis content. Apres aller exploser les blogs de X ou Y je m'en bas les couilles grave. Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.
Et au passage ce sont ces meme gens cons ou mal intentionnés qui te permettent d'ecrire des choses aussi interessantes que http://linuxfr.org/~maxxyme/15389.html(...) en auditant les logiciels. Par ce que bon je sais pas si tu es au courant mais des failles y'en a partout. Je te conseil meme de regarder les changelogs d'apache.
[^] # Re: Juste comme ça...
Posté par Maxx . Évalué à 2.
(...)
Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.
Ah certainement pas, je pense être davantage sensibilisé aux problèmes de sécurité (dans les applications web notamment), qu'un certain nombre de mes camarades de promotion (je sors d'une école d'informatique).
Simplement ce que j'avais voulu souligner c'est que ça ne servait à rien de dire, ah bah non on ne dit rien sur la faille... y'a quand même 500 personnes qui utilisent DotClear... oué euh moyen là quand même...
Alors ok, ne rien dire sur la faille, ça oblige les gens intéressés à la chercher au lieu de lire "bêtement" une doc dessus, mais bon au final, qu'est-ce qu'on y gagne ?
Je pourrais citer au moins un site de sécurité informatique (français) qui publie des exploits, et là... c'est vraiment l'exploit brut de fonderie, pas d'explication sur la faille exploitée.
# Autres liens et ressources php/sécurité
Posté par tagada tobozo . Évalué à 4.
http://www.phpsecure.info/(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://www.projectomega.org/contents/fr/php/oreilly/webdev/MacOSX_P(...)
http://fr.php.net/manual/fr/security.php(...)
In Anglais
http://www.phpadvisory.com/(...)
http://securephp.damonkohler.com/(...)
http://wact.sourceforge.net/index.php/PhpApplicationSecurity(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.