2012 fév. 11
Par xave le samedi 11 février 2012, 17:41 - News
Bonjour tout le monde !
Voici pour vous une nouvelle version de Dotclear, qui ne contient que du bugfix: nous avons été prévenus[1] cette semaine de la découverte de quatre failles XSS dans l'interface d'administration, alors nous nous sommes dit, comme ça, hop, que nous allions les corriger. Voilà qui est fait !
C'est rangé au même endroit que d'habitude: http://download.dotclear.org/latest.zip
Allez, des bises.
[1] Par la firme High-Tech Bridge Security Research Lab.
2010 avr. 1
Par Lomalarch le jeudi 1 avril 2010, 16:30 - News
Un commentaire récurrent concernant Dotclear est le manque de représentativité internationale de ce logiciel peu ou prou fait par trois Français, un faux Belge et une cousine Germaine[1].
Nos exigeants utilisateurs et soutiens fidèles seront heureux d’apprendre que ceci sera bientôt du passé, grâce à la constitution d’un consortium mondial basé à Genève[2], intitulé Swiss International Fund Services / Fonds International des Services Helvétique qui vient de nous faire une offre de rachat de Dotclear, pour intégrer le logiciel, en plate-forme, dans le cadre d’un vaste projet de fourniture de produits et services en ligne variés, allant du moteur de recherche à la messagerie instantanée, du blog à l’agrégation de tous types de contenus, du fromage au vin blanc (Suisse oblige), le tout aux normes de sécurité ayant cours dans les banques de la Confédération.
Bref, un nouveau géant du web est né, et nous en ferons partie, épaulés par une équipe hyper-profesionnelle carburant aux Ricola™ !
Les futures conditions de distribution du logiciel pourraient se rapprocher de celles de Solaris, mais nous vous tiendrons rapidement au courant de ces évolutions.
À très bientôt dans la galaxie SIFS/FISH !
2008 avr. 18
Par Olivier le vendredi 18 avril 2008, 14:17 - News
C'est la semaine des mises à jour de sécurité. Il y a des moments comme ça. Dotclear 1.2.8 vient donc de sortir afin de régler un problème mineur concernant l'envoi de fichiers depuis le gestionnaire d'images.
Une personne mal intentionnée peut envoyer un fichier PHP qui ressemble à une image (et passe donc le seul contrôle effectué) mais contenant du code PHP. Le problème a été corrigé en imposant une restriction aux extensions jpg, jpeg, gif, png, bmp et tiff pour ce qui concerne l'envoi d'images sur le blog.
Sont particulièrement concernés tous ceux qui utilisent un blog Dotclear 1.2.x avec d'autres utilisateurs. Pour mettre à jour, vous pouvez télécharger la dernière version et suivre la procédure habituelle de mise à jour. Vous pouvez également vous contenter de changer le fichier ecrire/images.php par celui-ci.
Comme toujours, cette mise à jour est recommandée pour tout le monde :)
PS: Pour Dotclear 2, quelques explications (et une nouvelle option).
2008 avr. 17
Par Olivier le jeudi 17 avril 2008, 12:04 - News
Une nouvelle version de Dotclear 2, la beta 7.0.1, vient corriger un problème de sécurité pas très grave mais quand même bien présent. Les changements intervenus depuis la beta 7 et maintenant ont fait qu'il était préférable de sortir un beta 7.0.1 n'incluant que les modifications apportées pour corriger le problème. La mise à jour de votre Dotclear sera donc des plus simples.
Le problème réside dans le chargement des fichiers de langue qui pouvait être contourné afin d'inclure un fichier se trouvant ailleurs que dans les répertoires de localisation. Ce problème concerne donc principalement les hébergeurs de blogs à qui je conseille vivement de procéder à la mise à jour en beta 7.0.1.
Merci à Sacha d'avoir trouvé et signalé le problème.
Pour ceux qui mettent à jour avec subversion ou en utilisant les nightly builds, vous serez tranquilles à partir de la révision 1696.
Note: un patch pour passer de la beta 7 (et uniquement cette version) à la beta 7.0.1 est disponible dans les patchs. Si vous ne comprenez pas ce qui est écrit sous la liste des fichiers, utilisez la procédure de mise à jour classique.
2006 juin 5
Par Pep le lundi 5 juin 2006, 04:12
Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).
En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :
Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :
Deny from all
Je pense que cela devrait être suffisant.
PS : Cette annonce a également été publiée sur le forum de DotClear.