Dotclear

Blog Dotclear » Archives » juin 2006

2006 juin 27

Devine qui vient dîner ce soir ?

Par Pep le mardi 27 juin 2006, 20:45

Sans doute y a-t-il parmi vous des personnes prêtes à se vautrer devant un match de foot. Les bières à portée de main, les pizzas toutes chaudes et les paquets de chips éventrés.

Quel dommage...

Ben oui, on espérait un peu plus de tenue pour accueillir Aoraki à notre table.

Aoraki ? qui ?

Aoraki, oui. Vous savez, celui qu'on appelle également DotClear2 dans une langue plus barbare.

Allez, soyez civilisés : éteignez ce fichu poste de télévision, relevez vous et allez vous laver les mains pendant que nous dressons la table.

Le dessert est déjà prêt...

12 commentaires un rétrolien

2006 juin 7

plugin de mise-à-jour vers Dotclear 1.2.5

Par xave le mercredi 7 juin 2006, 12:04

Bonjour m'sieurs-dames !

Je ne m'en étais pas trop inquiété, la mise-à-jour me semblant facile, mais il semblerait qu'il y ait une demande pour un plugin de mise-à-jour comme la dernière fois, alors je vous ai bricolé ça vite fait. La prochaine fois j'essaierai de prévoir (ici, ça a été un peu précipité, vu qu'un cracker à la petite semaine n'a rien trouvé de meiux que de publier une faille de sécurité sans nous prévenir.)

Alors voici le plugin, il n'a pas été plus testé que ça (chez moi, ça marche :) ) mais devrait fonctionner comme la fois précédente. Notez qu'il demande une version 1.2.4 pour effectuer la mise-à-jour, mais qu'il appliquera également le patch de sécurité (et seulement celui-ci) sur des versions plus anciennes.

33 commentaires un rétrolien 2 annexes

2006 juin 6

Mise à jour de sécurité 1.2.5

Par Kozlika le mardi 6 juin 2006, 06:52

Olivier l'a annoncé sur le forum, une version 1.2.5 corrigeant une faille de sécurité est disponible et vivement recommandée :

DotClear passe en version 1.2.5 pour corriger une faille de sécurité divulguée hier. La faille est exploitable dans le cas d'un serveur configuré avec le paramètre "register_globals" et "allow_url_fopen" à "on". Dans ce cas, il est possible d'appeler un fichier particulier de dotclear et de l'utiliser pour inclure un fichier d'un autre serveur. Si vous avez suffisament d'imagination vous savez ce qu'il est possible de faire de ça.

La mise à jour est vivement recommandée. Vous pouvez également ne changer que le fichier inc/magic_strip.php, c'est suffisant et fonctionne même sur les plus vieilles installations de DotClear.

L'exploit ayant été révélé avant de nous prévenir, je ne citerai ni ne remercierai cette personne dont le comportement est simplement imbécile vis à vis de tous les utilisateurs.

Bonne mise à jour :)

Si vous ne souhaitez pas faire une mise à jour complète pour le moment mais seulement corriger la faille :

  • Téléchargez le fichier en pièce jointe magic_strip.php.txt a renommer en enlevant .txt et à placer dans le répertoire inc/ à la place du fichier existant.

4 commentaires un rétrolien une annexe

Sortie de DotClear 1.2.5

Par Olivier le mardi 6 juin 2006, 01:12

La version 1.2.5 de DotClear corrige une faille de sécurité assez sérieuse découverte hier et un bug introduit dans la version précédente pour certaines configuration de serveurs.

Cette mise à jour est plus que recommandée.

un commentaire un rétrolien

2006 juin 5

Important : faille de sécurité potentielle dans DotClear 1.2.x

Par Pep le lundi 5 juin 2006, 04:12

Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).

En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :

Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :

Deny from all

Je pense que cela devrait être suffisant.

PS : Cette annonce a également été publiée sur le forum de DotClear.

Sites map