2014 mai 16
Par Franck - News - Lien permanent
Une nouvelle version de maintenance qui corrige deux potentielles failles de sécurité sur l'authentification XML-RPC et sur l'ordonnancement des catégories. Nous en profitons pour remercier Egidio Romano qui nous a alerté il y a deux jours à ce propos.
Il nous a également alerté sur la possibilité d'envoyer et de faire exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas garantir complètement ce genre de défaut et il faut veiller à ne pas laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et dépendent essentiellement de l'hébergeur et du logiciel serveur.
Pour Apache, par exemple, un fichier .htaccess
placé dans le dossier public et contenant la directive suivante permet de l'éviter :
php_flag engine off
La proposition de mise à jour de votre installation devrait apparaître sur votre tableau de bord aujourd'hui ou demain (selon les réglages de votre hébergement) et un patch est disponible pour les développeurs préférant appliquer cette méthode.
Commentaires
J'ai mis en place le .htaccess avec la directive indiquée et depuis plus aucune image n'est chargée côté public... Un peu radical, non ?
Le bug sur auth.php toujours présent chez Gandi Simple Hosting MySQL ;-)
@brol : ça confirme bien que la directive dépend de l'hébergeur. En l'occurrence php_flag ne fonctionne que si php est en module apache, pas en cgi.
Peux-tu essayer un .htaccess contenant uniquement "SetHandler default-handler" (sans les guillemets) ?
Je vais rapidement lancer un sujet sur le forum pour identifier au cas par cas ce qu'il faut mettre en place, en fonction de l'hébergeur.
--
Bruno
@Dsls : impec pour mon hébergement 1&1 mutualisé linux (les images sont accessibles, le php inhibé). J'aime beaucoup ton délimiteur de signature en 3 ;)
Merci.
Un gros merci! :)
Pour info:
php_flag engine off dans un .htaccess dans /public/ avec 1and1: Plus d'image.
Mais utiliser SetHandler default-handler à la place fonctionne impec! :)
php_flag engine off dans un .htaccess dans /public/ chez OVH
J'ai des images! :-)
Un grand merci aussi !
Bonjour, pour ceux qui utilisent le serveur nginx voici la config à rajouter dans le fichier.
location /public/ {
location ~ .*\.(php)?$
{
deny all;
}
}