Journal DotClear 1.2 RC2

Posté par  (site Web personnel) .
Étiquettes : aucune
0
18
sept.
2004
Je n'ai pas l'habitude d'annoncer les sorties de DotClear sur linuxfr mais pour celle-ci ça me semble plutôt important vu que quelques geeks notoires utilisent DotClear et lisent ces pages.

Il y a dans toutes les versions, non pas un faille, mais un gouffre permettant à n'importe qui de se loguer et éventuellement mettre le boxon dans votre chez vous. C'est un erreur de débutant et je n'ai plus de peau sur le dos tant je me suis fouetté.

Tout est là :
http://www.dotclear.net/forum/read.php?7,4518(...)
  • # En même temps ...

    Posté par  . Évalué à 7.

    Je me disais "il n'est pas humain ce mec pour faire un pareil travail et nous pondre un outil aussi bon".

    Maintenant je suis rassuré, t'es humain et donc pardonné :)

    M
  • # Merci

    Posté par  (site Web personnel) . Évalué à 5.

    Merci pour l'information et pour la franchise. Et merci pour dotclear.

    Mise à jour réalisée avec succès :)

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Juste comme ça...

    Posté par  (site Web personnel) . Évalué à 7.

    Simple curiosité mais... Peut-on en savoir un peu plus sur cette faille ?

    Ca m'intéresse beaucoup car il m'arrive de coder en PHP de temps en temps et, bien que très sensible aux éventuels problèmes de sécurité, je dois reconnaitre que mon style de programmation relève plus de la "bidouille qui marche" plutot que du beau code bien clean et tout blindé de partout.

    Alors, ça m'intéresse énormément de connaitre cette "erreur de débutant" histoire de voir si je ne fais pas la même chose lorsque je code du PHP (et puis c'est toujours bon d'apprendre de ses erreurs et de celles des autres ;).
    • [^] # Re: Juste comme ça...

      Posté par  . Évalué à 5.

      Il est vrai que l'interêt pédagogique est réel, mais il faut peut être laisser un peu de temps aux gens pour faire la mise à jour avant de la détailler :)

      M
    • [^] # Re: Juste comme ça...

      Posté par  (site Web personnel) . Évalué à 8.

      J'aimerai bien en dire plus mais il y a près de 500 blogs dotclear (peut-être plus, peut-être moins) et je n'ai pas envie de leur faire ce second cadeau :-)

      J'ai volontairement passé sous silence l'exploit et la nature détaillée de la faille pour cette raison.

      Ça me rappelle ce débat qu'il y avait eu il y a peu sur la publication des exploits. S'il est clair qu'ils ont un grand intérêt pédagogique, c'est irresponsable de les publier, du moins dans l'immédiat.

      Bref, on en reparle dans 2 mois ;-)
      • [^] # Re: Juste comme ça...

        Posté par  . Évalué à 0.

        Bhaaa on va differ c'est pas tres grave, ca prendra juste un peu plus de temps :-)
        • [^] # Re: Juste comme ça...

          Posté par  . Évalué à -2.

          Ayé j'ai trouvé effectivement c'est con. Enfin tu pourrais expliquer ce que c'est; car tu donnes trop de renseignements sur ta page (sans fournir l'exploit bien sur).

          Differ 4000 lignes a la recherche d'une faille c'est pas rapide, mais differ 2 fonctions ca prend 3 minutes surtout que c'est pas bien compliqué a comprendre. Sur ce je vais essayer de voir si ca marche :-p

          Notons qu'il existe quelques bons documents sur la programmation securisee en php, et que la meilleur technique pour apprendre a faire moins de connerie est de lire bugtraq ou quelques chose comme ca, et de regarder la tete des failles trouvees et de leur exploitation. Ca permet de decouvrir plein de choses auxquelles on ne penserait pas forcement.
        • [^] # Re: Juste comme ça...

          Posté par  . Évalué à 1.

          bonne idée mais differ avec une ancienne version de dotclear ...
          Or les anciennes versions ne sont pas téléchargeables ...
          Donc ça va ! Sauf ceux qui ont déja downloadé dotclear avant ;)
          • [^] # Re: Juste comme ça...

            Posté par  . Évalué à 0.

            Bah ué... mais au final...
            Faut être vraiment mal intentionné (ou c*n ?) pour aller differ et vouloir faire ch*er 500 blogs (à tout casser)...
            • [^] # Re: Juste comme ça...

              Posté par  . Évalué à 3.

              Tu es au courant que ce n'est pas par ce que tu t'amuses a trouver les failles que tu vas faire chier le monde ?

              J'ai teste ma theorie sur http://127.0.0.1,(...) ca marche je suis content. Apres aller exploser les blogs de X ou Y je m'en bas les couilles grave. Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.

              Et au passage ce sont ces meme gens cons ou mal intentionnés qui te permettent d'ecrire des choses aussi interessantes que http://linuxfr.org/~maxxyme/15389.html(...) en auditant les logiciels. Par ce que bon je sais pas si tu es au courant mais des failles y'en a partout. Je te conseil meme de regarder les changelogs d'apache.
              • [^] # Re: Juste comme ça...

                Posté par  . Évalué à 2.

                Tu es au courant que ce n'est pas par ce que tu t'amuses a trouver les failles que tu vas faire chier le monde ?

                (...)

                Y"a des gens c'est la technique qui les interesse mais ca semble te depasser.


                Ah certainement pas, je pense être davantage sensibilisé aux problèmes de sécurité (dans les applications web notamment), qu'un certain nombre de mes camarades de promotion (je sors d'une école d'informatique).

                Simplement ce que j'avais voulu souligner c'est que ça ne servait à rien de dire, ah bah non on ne dit rien sur la faille... y'a quand même 500 personnes qui utilisent DotClear... oué euh moyen là quand même...
                Alors ok, ne rien dire sur la faille, ça oblige les gens intéressés à la chercher au lieu de lire "bêtement" une doc dessus, mais bon au final, qu'est-ce qu'on y gagne ?
                Je pourrais citer au moins un site de sécurité informatique (français) qui publie des exploits, et là... c'est vraiment l'exploit brut de fonderie, pas d'explication sur la faille exploitée.
  • # Autres liens et ressources php/sécurité

    Posté par  . Évalué à 4.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.