Journal SPIP : faille chez les forums spip

Posté par  .
Étiquettes : aucune
0
15
mar.
2004
Voilà le mail que j'ai reçu tout récemment :


Bonsoir,

-= RÉSUMÉ =-

Si votre site fonctionne encore sous une ancienne version de SPIP (1.5.2 ou
1.6, ou une version encore plus vieille), et que les forums sont activés,
supprimez de toute urgence le fichier inc-forum.php3 à la racine et lisez ce
qui suit.

* * *

-= ANNONCE IMPORTANTE =-

un trou de sécurité important figurait dans les versions anciennes de SPIP.
La version 1.7 corrige le problème, mais toutes les versions précédentes (y
compris 1.5.2, 1.6 et certaines versions de développement de la 1.7) sont
touchées.

** Ce problème affecte tous les sites ayant activé les forums **

Ce problème ouvre potentiellement un "trou" permettant à un pirate de
détruire entièrement votre site (fichiers, images, documents et base de
données), voire, sur certains systèmes, de détruire aussi le logiciel du
serveur et le contenu du disque dur ; certains prétendent même qu'on peut
par ce biais mettre le feu à votre maison. Bref, c'est assez grave.

Si vous avez encore en ligne une version ancienne, il est donc plus que
temps de procéder à une mise à jour en version 1.7.

Pour éliminer le problème rapidement, vous pouvez simplement supprimer le
désactiver tous les forums en supprimant le fichier inc-forum.php3 à la
racine du site, en attendant de faire la mise à jour.

* * *

-= MISE À JOUR =-

Vous pouvez effectuer la mise à jour, soit avec le spip_loader.php3, soit en
téléchargeant SPIP 1.7 à l'endroit habituel :
http://www.spip.net/spip-dev/DISTRIB/(...)

Si vous n'avez pas besoin du multilinguisme, vous pouvez télécharger une
version exclusivement française à l'adresse :
http://www.spip.net/spip-dev/DISTRIB/monolingue/(...)


-- Fil

  • # Re: SPIP : faille chez les forums spip

    Posté par  (Mastodon) . Évalué à 1.

    En effet => http://secunia.com/advisories/11127/(...)

  • # Re: SPIP : faille chez les forums spip

    Posté par  . Évalué à 4.

    Un pote m'a parlé de cette faille la semaine dernière, et à ce que j'ai compris elle était connue depuis pas mal de temps. La possibilité d'interprêter du code php sans contrôle est gravissime, et ce qui me suprend c'est l'absence totale de contrôle de l'entrée d'un formulaire. Ca doit être le premier truc que j'ai appris en PHP, et je suis une ouiche. Voilà qui ne me donne pas du tout envie d'installer un SPIP...

    • [^] # Re: SPIP : faille chez les forums spip

      Posté par  . Évalué à 1.

      Venant de SPIP ce n'est pas specialement etonnant...
      Je m'explique SPIP est malheureusement dirigé par des personnes relativement imbue d'elle même et qui ont déjà montré par le passé leurs totale méprit des normes et usages ( compatibilité HTML XHTML, SQL, etc etc ...).

      • [^] # Re: SPIP : faille chez les forums spip

        Posté par  . Évalué à 2.

        Ayé, j'ai enfin compris pourquoi Beretta elle était vesquée.

        • [^] # Re: SPIP : faille chez les forums spip

          Posté par  . Évalué à 1.

          Na pas respecter les normes est une chose ecrire des bruleaux contre les normes en est une autre, et il faut bien reconnaitre que dans ce style tres pointue les utilisateurs de SPIP sont en bonne place.
          Il suffit de visiter Uzine.net pour s'en convaincre.

          Donc oui je n'aime pas vraiment SPIP et je ne m'en cache pas, apres si j'avais vraiment voule les demonter j'aurais lancer un troll sur la popularité et les vertue de ce logiciel, mais la n'est pas le débat et je ne suis pas d'humeur trollesque ce soir.

          • [^] # Re: SPIP : faille chez les forums spip

            Posté par  . Évalué à 1.

            Ben ouais, les gars de SPIP sont vesquant parfois, imbus jamais, mais ce qui est interressant pour moi, c'est le résultat : http://www.spip.net/fr_article884.html(...) .

            • [^] # Re: SPIP : faille chez les forums spip

              Posté par  . Évalué à 2.

              autant de sites très peu accessibles...moi je m'en vanterais pas perso...

              • [^] # Re: SPIP : faille chez les forums spip

                Posté par  . Évalué à 3.

                Je vais pas refaire le laius d'ARNO, puisque je pense que sous l'effet de son couroux il a poussé le bouchon un peu trop loin, mais le pédantisme : "le site ne valide pas" ça m'exaspère. Je connais les bienfaits de l'accesibilité, je prône l'accessibilité, j'adule l'accessibilité, je vénère les normes : je suis profondemment convaincu de leur necessité en tant que langage universel. Dans le cas de SPIP, je pense que ce n'était pas le plus important au départ, ce qui était important c'est que n'importe qui avec le minimum de connaissance pouvait monter un site dynamique et parler de ses passions, de ses rêves, de ses cauchemars : s'exprimer. Maintenant que ce premier pas est franchi, oui, on peut parler d'accesibilité, cela dit j'ai toujours pu naviguer sur un site SPIP avec mon lynx, de tout temps.

                • [^] # Re: SPIP : faille chez les forums spip

                  Posté par  . Évalué à 1.

                  C'est pas exactement ce que disait arno hein...
                  Il aurait plutôt eu tendance à dire "les normes on s'en fout, l'accessibilité aussi"
                  Personnellement, son intervention m'a donné un avis TRES néfatif sur spip, au point que je n'en mettrais pas le moindre et que je le déconseillerai violemment à toute personne.

                  • [^] # Re: SPIP : faille chez les forums spip

                    Posté par  . Évalué à 3.

                    Franchement, au bout du cinquantième "SPIP c'est pas W3C compliant" sur spip-dev, je pense qu'il y a de quoi s'enerver.
                    Libre à toi de déconseiller SPIP. Je le conseille, pour la publication, je ne connais rien de mieux, ni de plus simple à installer.

                    • [^] # Re: SPIP : faille chez les forums spip

                      Posté par  . Évalué à 1.

                      Parce que 50 "Cela ne fonctionne pas chers moi, ton logiciel c'est de la merde" c'est moin lourd ? C'est pas pour cela que j'ecris des articles pour expliquer que les utilisateurs sont de gros cons pas foutue de savoir lire.

                      Je ne reproche pas SPIP de ne pas étre conforme, parce qu'apres tous on ne compte plus les sites qui ne sont pas aux normes, même si ce n'est pas une bonne chose. Ce que je reproche c'est cette hostilité face aux normes, personnellement l'initiative des bandeaux "Ce site n'est pas compatible HTML valide" sur certein site m'a donner l'impression d'un grand pas en arriére vers les site Netscape contre IE.

                      Que les repest des normes ne soit pas une priorité passe encore, mais ca c'était vraiment trop.

                      • [^] # Re: SPIP : faille chez les forums spip

                        Posté par  . Évalué à -4.

                        Désolé, j'ai du mal à te comprendre. Je n'ai pas de temps à passer avec quelqu'un qui ne fait pas l'effort de se relire, afin de produire un langage accesible à tous. C'est ça que tu veux comme monde ? Et bien sans moi.

                      • [^] # Re: SPIP : faille chez les forums spip

                        Posté par  (site web personnel, Mastodon) . Évalué à 8.

                        Je rappelle pour ceux qui dénigre sans prendre le temps de regarder par eux-même que SPIP est en grande partie basé sur un principe de templates (appelé "squelettes" sous Spip).

                        Donc, pour faire un site "accessible", il suffit de travailler un peu ses squelettes. J'utilise volontairement le terme "accessible" et non pas "conforme W3C". En effet, Spip a qq problèmes mineurs de balises (notamment tout ce qui se rapproche des inputs) uniques non fermantes, mais rien qui ne justifie le terme non-accessible. J'arrive très bien à naviguer sur ce genre de sites avec Lynx ou d'autres navigateurs en mode texte pour prendre un exemple.

                        Donc on retombe sur la faute-au-webmaster-qui-fait-pas-du-bon-html, mais ça n'a rien voir avec Spip (dans sa partie navigation, je ne parle pas de la partie administration).

                        Perso, il y a deux choses que je ne comprends pas,
                        1) l'acharnement pro-Validation, au détriment de la véritable notion d'accessibilité (si un site valide a des chances d'être accessible, ça n'est pas une évidence) et
                        2) l'acharnement injustifié contre un logiciel sur la base qu'un de ses auteurs n'a pas les mêmes opinions.

                        Bref, soyons informés, pas dogmatiques...

                  • [^] # Re: SPIP : faille chez les forums spip

                    Posté par  . Évalué à 1.

                    enfin, sinon y a AGORA ;-)

          • [^] # Re: SPIP : faille chez les forums spip

            Posté par  (site web personnel) . Évalué à 2.

            Il est vrais que certains devellopeurs de Spip neglige particulierement les normes, ou plutot ils ne desirent pas passer du temps pour tenter de rendre leurs pages valide.

            C'est au webmaster de mettre son site a la norme si il le desire en ecrivant le squelette et cela ne pose pas particulierement de probleme avec SPIP.

          • [^] # Re: SPIP : faille chez les forums spip

            Posté par  (site web personnel) . Évalué à 6.

            Na pas respecter les normes est une chose ecrire des bruleaux contre les normes en est une autre, et il faut bien reconnaitre que dans ce style tres pointue les utilisateurs de SPIP sont en bonne place.

            Merci pour les utilisateurs et pour l'amalgame...

            Il est tout à fait possible d'être un utilisateur de SPIP et d'être aussi un défenseur des normes. J'utilise SPIP depuis assez longtemps maintenant et je développe mes sites en suivant les normes du w3c.

    • [^] # Re: SPIP : faille chez les forums spip

      Posté par  (site web personnel) . Évalué à 3.

      Ca doit être le premier truc que j'ai appris en PHP
      Le problème c'est que la plupart des gens qui "codent" en PHP n'ont jamais pris le temps d'apprendre : ils ont commencé par pomper deux trois bouts de code à droite à gauche, l'ont modifié au feeling, sans jamais avoir besoin de trop se casser la tête pour obtenir un truc qui marchouille. PHP n'est pas un langage qui demande au développeur de comprendre son fonctionnement avant de commencer à écrire un programme (de toutes façons c'est tellement brouillon comme langage que si on prend la peine de se demander comment ça marche on passe rapidement à autre chose), c'est ce qui lui doit son succès mais c'est aussi son principal défaut.

      • [^] # Re: SPIP : faille chez les forums spip

        Posté par  (site web personnel) . Évalué à 2.

        C'est une critique un peu dure mais elle contient un fond de vérité: PHP a été un langage très laxiste laissant l'opportunité de faire beaucoup de chose sans comprendre les fonctionnements et traitements sous-jacents mais c'est un langage encore jeune qui tend à s'améliorer.

        Je tiens toutefois à préciser qu'il est tout à fait possible de faire des programmes qui marchouillent dans la plupart des langages, truffés de failles et susceptibles de planter à tout instant. Le reproche que l'on peut faire à PHP de ce point de vue est qu'il donne une grande impression de facilité d'où son fort succès.

        Quoiqu'il en soit, je continue de penser qu'il s'agit d'un langage puissant et riche pas si brouillon et qui a le mérite de son défaut: être accessible.

        Il a encore de beau jour devant lui et sur le domaine du Web dynamique, il n'y a pas beaucoup de concurrents aussi sérieux et prometteur.

      • [^] # Re: SPIP : faille chez les forums spip

        Posté par  . Évalué à 1.

        oué, d'ailleurs, je cherche autre chose, tu proposes quoi ?

      • [^] # Re: SPIP : faille chez les forums spip

        Posté par  (site web personnel) . Évalué à 1.

        Quelqu'un connait des pointeurs vers de bons articles sur ce sujet?

    • [^] # Re: SPIP : faille chez les forums spip

      Posté par  (site web personnel) . Évalué à 2.

      ce qui me suprend c'est l'absence totale de contrôle de l'entrée d'un formulaire. Ca doit être le premier truc que j'ai appris en PHP

      Il m'a fallu longtemps avant d'apprendre sa, la plupart du temps dans les bourquins ou sur les site intrenet on en parle pas, et il existe un nombre tres important de site touchee par ce genre de failles.

    • [^] # Re: SPIP : faille chez les forums spip

      Posté par  . Évalué à 1.

      Un pote m'a parlé de cette faille la semaine dernière, et à ce que j'ai compris elle était connue depuis pas mal de temps.

      Si j'en crois l'annonce du dessus, elle était corrigée depuis pas mal de temps aussi...

      • [^] # Re: SPIP : faille chez les forums spip

        Posté par  (site web personnel) . Évalué à 2.

        Corrigée oui... mais au prix d'une fastidieuse migration en 1.7... alors qu'un bete patch pour les 1.6-1.5.2-1.4.2 aurait été franchement plus efficace.
        qd on a un trou de sécu, c'est pas parce qu'on a envie de le voir disparaitre qu'on a envie de voir un changement apparaître dans les fonctionnalités de son site.

        c'est ce qu'on appelle la "stabilité" je crois...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.