Blog Dotclear

2006 juin 27

Devine qui vient dîner ce soir ?

Sans doute y a-t-il parmi vous des personnes prêtes à se vautrer devant un match de foot. Les bières à portée de main, les pizzas toutes chaudes et les paquets de chips éventrés.

Quel dommage...

Ben oui, on espérait un peu plus de tenue pour accueillir Aoraki à notre table.

Aoraki ? qui ?

Aoraki, oui. Vous savez, celui qu'on appelle également DotClear2 dans une langue plus barbare.

Allez, soyez civilisés : éteignez ce fichu poste de télévision, relevez vous et allez vous laver les mains pendant que nous dressons la table.

Le dessert est déjà prêt...

12 commentaires un rétrolien

2006 juin 7

plugin de mise-à-jour vers Dotclear 1.2.5

Par xave

Bonjour m'sieurs-dames !

Je ne m'en étais pas trop inquiété, la mise-à-jour me semblant facile, mais il semblerait qu'il y ait une demande pour un plugin de mise-à-jour comme la dernière fois, alors je vous ai bricolé ça vite fait. La prochaine fois j'essaierai de prévoir (ici, ça a été un peu précipité, vu qu'un cracker à la petite semaine n'a rien trouvé de meiux que de publier une faille de sécurité sans nous prévenir.)

Alors voici le plugin, il n'a pas été plus testé que ça (chez moi, ça marche :) ) mais devrait fonctionner comme la fois précédente. Notez qu'il demande une version 1.2.4 pour effectuer la mise-à-jour, mais qu'il appliquera également le patch de sécurité (et seulement celui-ci) sur des versions plus anciennes.

33 commentaires un rétrolien 2 annexes

2006 juin 6

Mise à jour de sécurité 1.2.5

Par Kozlika

Olivier l'a annoncé sur le forum, une version 1.2.5 corrigeant une faille de sécurité est disponible et vivement recommandée :

DotClear passe en version 1.2.5 pour corriger une faille de sécurité divulguée hier. La faille est exploitable dans le cas d'un serveur configuré avec le paramètre "register_globals" et "allow_url_fopen" à "on". Dans ce cas, il est possible d'appeler un fichier particulier de dotclear et de l'utiliser pour inclure un fichier d'un autre serveur. Si vous avez suffisament d'imagination vous savez ce qu'il est possible de faire de ça.

La mise à jour est vivement recommandée. Vous pouvez également ne changer que le fichier inc/magic_strip.php, c'est suffisant et fonctionne même sur les plus vieilles installations de DotClear.

L'exploit ayant été révélé avant de nous prévenir, je ne citerai ni ne remercierai cette personne dont le comportement est simplement imbécile vis à vis de tous les utilisateurs.

Bonne mise à jour :)

Si vous ne souhaitez pas faire une mise à jour complète pour le moment mais seulement corriger la faille :

Téléchargez le fichier en pièce jointe magic_strip.php.txt a renommer en enlevant .txt et à placer dans le répertoire inc/ à la place du fichier existant.

4 commentaires un rétrolien une annexe

Sortie de DotClear 1.2.5

Par Olivier - News

La version 1.2.5 de DotClear corrige une faille de sécurité assez sérieuse découverte hier et un bug introduit dans la version précédente pour certaines configuration de serveurs.

Cette mise à jour est plus que recommandée.

Télécharger DotClear 1.2.5
Documentation de sauvegarde et Mise à jour de votre blog
Plus de détails sur le forum.

un commentaire un rétrolien

2006 juin 5

Important : faille de sécurité potentielle dans DotClear 1.2.x

Par Pep

Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).

En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :

Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :

Deny from all

Je pense que cela devrait être suffisant.

PS : Cette annonce a également été publiée sur le forum de DotClear.

2006 avr. 12

Upgrade Dotclear 1.2.4 pour les nuls

Par xave

Vous l'avez lu sur dotclear.net, vous l'avez lu sur le forum, vous l'avez lu chez Kozlika, vous l'avez lu chez Pep : la version 1.2.4 de Dotclear est sortie. Vous savez bien sûr comment faire proprement une mise-à-jour complète, et vous l'avez déjà faite.

Non ? Ah. Bon, alors il y a peut-être une solution plus rapide : qu'un plugin s'occupe de la mise à jour pour vous. L'idée vous plaît ? Attention, il y a plusieurs choses à garder à l'esprit :

Il s'agit uniquement de passer de 1.2.3 en 1.2.4, si votre version est plus vieille, vous ne pourrez pas utiliser ce plugin et devrez faire la mise à jour complète.
ce plugin est fourni en l'état : il a été fait assez vite dans le but de rendre service, et normalement il fonctionne. Si vous avez un problème, vos retours sont les bienvenus.
Parmi les fichiers mis à jour se trouve une partie des fichiers du thème par défaut. Mais bien entendu, vous l'avez copié dans votre thème avant de le modifier (sinon, dépèchez vous avant de le perdre.)
Allez, faites quand même une sauvegarde de vos fichiers avant, on ne sait jamais.

Et là vous me demandez Mais il est où ce plugin ? Eh bien en annexe, les enfants, en annexe.

61 commentaires 13 rétroliens 2 annexes

2006 avr. 11

Sortie de DotClear 1.2.4

Par Olivier - News

Voici venue la version 1.2.4 qui corrige une série de failles de sécurité mineures et offre des améliorations diverses et variées : meilleure gestion du chemin du répertoire images/ (merci Xave, un best-seller de notre forum), un fil Atom en version 1.0 et une meilleure détection de l'encodage des trackbacks entrants.

Le plugin Spamplemousse (pour filtrer le spam de commentaires) a également été mis à jour dans la foulée.

La mise à jour est bien sûr recommandée.

Télécharger DotClear 1.2.4

Afin que tout se passe bien et sans encombre :

Merci à toute l'équipe pour sa rapidité et la qualité du travail réalisé. Merci également à Christophe Grenier de soumettre les corrections apportées lors d'un audit de sécurité.

7 commentaires 10 rétroliens

2006 avr. 1

Mise au point

Par xave

Et puis ça n'est pas la première fois et ça n'est évidemment pas la dernière non plus que notre cohésion dérange. Sans doute parce que ceux-là n'arrivent pas à comprendre - ou en sont jaloux - que les compétences (pourtant incommensurables pour ce qui me concerne) de codeur ne sont pas et de loin le critère unique autour duquel l'équipe a été constituée. Que ce n'est pas seulement une équipe ad hoc pour DotClear mais une équipe tout court. Qu'il est aussi question d'autre chose, de regard sur le monde, d'affinités, de complicité, de loyauté, d'amitié.
Kozlika

Ben wuais, les gens. Nous ne sommes pas des collègues, nous sommes des copains, ceux qui confondent sont à côté de la plaque. Nous ne sommes pas systématiquement d'accord avec Olivier parce que c'est le chef : Olivier et nous sommes souvent d'accord parce que nous avons la même vision des choses.

Moi j'aime bien mes copains.

14 commentaires un rétrolien

2006 mar. 30

Bon sang ...

Par Pep

Qu'est ce que ça remue dans les commentaires de l'annonce de blogeoisie.

L'ouverture de cette ferme expérimentale semble être perçue comme un signe de disponibilité de DC2. Forcément, puisque ce n'est pas le cas, ça râle, ça grince des dents, ça essaye d'appuyer là où ça pourrait faire mal.

Faisons le point :

Pourquoi les sources de DC2 ne sont elles pas encore disponibles ?

Simplement parce que les fondations de DC2 n'ont pas encore été déclarées stables. Les lâcher dans la nature maintenant reviendrait à encourager les bidouilleurs à bâtir sur des sables mouvants. Avec les fâcheuses conséquences qui s'en suivraient ...

Pourquoi seulement une sélection de blogueurs chez Blogeoisie ?

Ça me parait évident : blogeoisie.com est un des premiers tests grandeur nature de DC2. On a besoin de retours d'expériences, mais dans une proportion gérable et mesurée. À ce stade, ce qui importe est la qualité des retours et non la quantité. C'est également pour cela que les blogeois ne sont pas tous issus de la sphère des utilisateurs de DotClear (entre un VRP WordPress et un troll afficionado de MT, pour ne citer que ceux-là, on aime le risque...).

Est-ce qu'on nargue les autres personnes en attente de DC2 ?

Bien sûr que non. Il faudrait vraiment être con (je n'ai pas d'autre mot). Je peux comprendre l'impatience des uns et des autres, mais qu'ils ne s'énervent pas et considèrent plutôt blogeoisie.com comme une étape supplémentaire vers une version DC2 beta.

Bon, je m'arrète là. Pour l'instant, je ne fais que donner mon opinion personnelle. Et je pense qu'une position officielle ne devrait plus tarder^[1].

En attendant, amusons-nous, que diable. Nous ne sommes pas là pour (déjà) nous prendre la tête...

Notes

[1] Eh... Je vais bientôt être prêt à me lancer dans une carrière politique moi ! :-)

31 commentaires 2 rétroliens

2005 nov. 30

Mise à jour 1.2.3

Par Kozlika - News

DotClear 1.2.3 fixe une faille de sécurité découverte dans le gestionnaire de sessions. Vous êtes invités à mettre à jour assez rapidement.

Téléchargement - En savoir plus

un commentaire

2005 oct. 22

Sortie de la version 1.2.2

Par Olivier - News

DotClear 1.2.2 est une mise à jour de sécurité concernant les trackbacks. Cette mise à jour est recommandée.

Téléchargement - En savoir plus

un rétrolien

2005 juin 8

Déménagements

Par Olivier - News

Le site a changé de serveur et nous avons profité de l'occasion pour apporter quelques améliorations à l'ordinaire. L'ancien site hébergeant le wiki et l'outil de report de bugs est désormais intégré au site tant fonctionnellement que graphiquement. Nous allons travailler sur le wiki assez rapidement pour y basculer l'aide en ligne.

Le petit dotclear illustré vient lui aussi de rejoindre le nouveau serveur, avec un bel habit d'été et toujours le même contenu de qualité rédigé par Anne.

2005 avr. 27

DotClear 1.2.1

Par Olivier - News

La version 1.2.1 est disponible ! Pas de grands changements mais une évolution de l'application et de nombreuses corrections de bugs.

Découvrez les changements dans le changelog ou sur ce billet un plus détaillé à propos de la 1.2.1 et du futur de DotClear.

2 commentaires

2004 oct. 27

Nouveau site dotclear.net

Par Olivier - News

Le site dotclear.net fait peau neuve avec quelques nouvelles rubriques.

Grâce à Stéphane Bourzeix, une section pour les utilisateurs non francophones est désormais ouverte, ainsi qu'un forum associé ;
La documentation pour les développeurs commence à voir le jour tout doucement, de nouveau documents seront très rapidement ajoutés ;
Un nouveau forum a été installé qui, je l'espère, vous apportera la plus grande satisfaction.

J'espére que vous apprécierez ce nouveau site autant que vous appréciez DotClear.

9 commentaires un rétrolien

2004 oct. 6

DotClear 1.2

Par Olivier - News

La version 1.2 est disponible pour votre plus grand bonheur et celui de vos lecteurs.

Un nouveau plugin d'import est également disponibles pour les blogs MovableType et s'ajoute aux autres plugins.

6 commentaires 4 rétroliens

Dotclear

Devine qui vient dîner ce soir ?

plugin de mise-à-jour vers Dotclear 1.2.5

Mise à jour de sécurité 1.2.5

Sortie de DotClear 1.2.5

Important : faille de sécurité potentielle dans DotClear 1.2.x

Upgrade Dotclear 1.2.4 pour les nuls

Sortie de DotClear 1.2.4

Mise au point

Bon sang ...

Notes

Mise à jour 1.2.3

Sortie de la version 1.2.2

Déménagements

DotClear 1.2.1

Nouveau site dotclear.net

DotClear 1.2

Recherche

Catégories

Sites map