Incroyable mais vrai -> Un nouvelle faille pour php ?

WRInaute accro
je parle de tous les sites qui utilisent une base de donnée

attention : ce n'est pas un fake
 
WRInaute impliqué
Pouzy a dit:
Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !
En même temps sa source elle même (à Ohax) se contredit, vu qu'il lui a dit à quoi correspondait la faille :?
 
WRInaute accro
beau bordel à prévoir dans la sécurité informatique...
heureusement que je suis 100% HTML et 0% base de données :)
 
WRInaute impliqué
La n'est pas le problème, le problème est de boucher tout ca le plus rapidement possible... et de toute facon ca va changer quoi qu'Ohax le diffuse ou non, personne ne connaît exactement cette faille... comment l'exploiter,.... ceci dit, je ne crois pas trop que cette faille existe réelement mais bon, vu qu'en n'est pas le 1re avril je commence a douter....
 
WRInaute passionné
Genzo a dit:
Pouzy a dit:
Purée Ohax .. il demande de pas diffuser ..

on né ke 2 a la connaitre, et on c jurer de
la dire a personne tant kel serai po corriger Smile

Ecoute le un peu !
En même temps sa source elle même (à Ohax) se contredit, vu qu'il lui a dit à quoi correspondait la faille :?

Oui, le but est de protéger les webmasters sous PhpBB, pas de diffuser l'info a tous les hackeurs potentiels qui se jetteraient sur l'occas' ..
 
WRInaute discret
La seule façon de voir en clair le fichier config.php serait d'empecher le serveur de l'interpreter. Donc forcement une url injection quelque part ! J'prefere encore savoir ou ce trouve cette conne d'injection plutot que de m'emmerder a renommer le fichier config.php ! Parce que si ça marche avec un ca marche avec tous les autres !!
 
WRInaute accro
et si tu peut obtenir la source de config.php, tu peut obtenir celle de index.php
donc, le nom du config.php, et donc, la source du fichier renommé...
 
WRInaute impliqué
Je ne pense pas que ca soit une bonne idée de divulgué, sur un forum, une telle information...imaginer le danger que ca représente....
Mais d'un autre côté, si on ne peut pas réaliser de test soit même, on pourrai penser que ca soit un canular :p
 
WRInaute discret
Bah au vue du log MSN et de l'espece d'abruti qui parlé ca semble plus être un canular qu'autre chose. Ou alors c'est encore une de ces pucelles qui viens tout juste d'avoir le net et qui ce prend pour un hacker après avoir lu un document de deux lignes sur un site de newbies.
 
WRInaute impliqué
si il y a vraiment une faille dans php, on peut en causer ici car ca veut dire qu'elle est deja connue, en tous cas elle est connue des hackers. et puis c un secret de polichinelle, dans moins de 24h si c vrai l'info sera dispo partout.

pourquoi vous en profitez pas pour mettre l'info en ligne tout de suite et ainsi faire la une de google actu ? :)

moi jmen vais glaner l'info directement aupres de la team php :p
 
WRInaute passionné
Je ne suis pas sur phpbb mais sur un truc "fait main" :D

J'avais 2 petites questions :
1/ Je ne comprends pas trop l'importance de coder ses paramètres de connexion à la base ?

2/ Et la question 2 en découle : Quelle est la procédure ?

Merciiii
 
WRInaute passionné
Je ne comprend pas, pourquoi le titre est "faille pour php" alors que l'on parle la d'une faille dans phpbb ?

Il faudra bien parler un jour ou l'autre de la faille... Autant le faire maintenant.

Sinon inutile d'ouvrir un topic, les utilisateurs de phpbb devraient deja tous etre au courant des modifications à y faire pour le sécuriser un maximum...
 
WRInaute accro
ça conserne l'enssemble des sites web j'ai dit

donc il ne peut s'agir d'une erreur de codage ;-)
 
WRInaute accro
Si on en savait plus... C'est incroyable, les personnes malvaillante doivent certainement être au courant et nous non... Alors qu'on pourrait peut être commencer à protéger des choses :)
 
WRInaute occasionnel
Ohax a dit:
ça conserne l'enssemble des sites web j'ai dit
donc il ne peut s'agir d'une erreur de codage ;-)
devinette...
ok donc c'est une faille dans une function php ?

[edit] enfin bon je vais pas me prendre la tête pour une faille de plus 8) [/edit]
 
WRInaute discret
On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos
 
WRInaute accro
surtout que si effectivement, la faille est si enorme, elle sera fixée d'ici 48h, l'équipe php est plutot réactive
 
WRInaute accro
raspoutine59 a dit:
On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos
quelle autorité ridicule...
ce topic a au moins pour conséquence que les webmasters ayant un forum php** ne seront pas surpris de devoir mettre à jours leurs codes... la vigilence est plus active
mieux vaut prévenir que guérir...
 
WRInaute accro
tomhtml ca concerne toutes les personnes qui utilisent php, puisque c'est une faille dans le code php.
que ce soit un forum, une section membres, ... tout est susceptible d'utilise une bdd, ou un mot de passe
 
WRInaute accro
juste 2 conseils

sécurisez votre config.php comme je l'ai indiqué et suivez TOUTES les mises à jours de très près


même si elles ne consernent pas php...
 
WRInaute occasionnel
Ohax a dit:
juste 2 conseils
sécurisez votre config.php comme je l'ai indiqué et suivez TOUTES les mises à jours de très près
même si elles ne consernent pas php...
Heu désolé je dois être bête...
Quel fichier config.php ?
J'ai pas de fichier config.php :lol:
 
WRInaute occasionnel
JeunZ a dit:
Oui la faille...
Mais le config.php c'est que pour les phpBB ;-)
Ok donc en gros si j'ai bien compris :
si on n'a pas de fichier sensible avec des noms évocateurs c'est déjà un bon point. :roll:
 
WRInaute passionné
En effet car, il existe des logiciels qu'utilisent les pirates qui permettent de voir l'arborescence d'un serveur.
 
WRInaute accro
oui mais pas seulemment

la faille en question ne met pas seulemment votre site en danger mais elle met aussi votre code en danger
 
WRInaute occasionnel
rottman a dit:
En effet car, il existe des logiciels qu'utilisent les pirates qui permettent de voir l'arborescence d'un serveur.
tu parles de l'arbo avant ou aprés le DOCUMENT_ROOT .
Si c'est aprés je suis pas choqué.
Si c'est avant ca me parait impossible (ou alors le serveur est déjà hacké)
 
WRInaute discret
Bof il s'appel Ohax
ça vous dit rien Hoax ? o_O
Et toi Ohax, tu t'es planté une plume dans le cul pour avoir eu cette pseudo-faille ?
 
WRInaute passionné
¥€$ a dit:
Y a aucun hacker ici, dis-nous comment on fait Ohax...

A part qu'on est partout sur google :) :p

Un petit complément à Ohax :arrow: -http://www.aidoforum.com/tutoriaux-161-securiser-votre-forum-phpbb.html
 
WRInaute occasionnel
phpbb.com a subi une attaque DoS ce week end, ils n'ont pas été hackés (du moins c'est ce qu'ils disent). d'aprés eux il n'y a pas de nouvelle faille connue.

source phpbb.com
 
WRInaute impliqué
Je repete ce qui a deja ete dit mais quel interret de crier
Incroyable mais vrai -> Un nouvelle faille pour php ?
sans pour autant decrire la faille ?

Repondre qu'il faut securiser tel ou tel fichier n'apporte rien puisque on est deja sense le faire.

Decrire la faille - au moins dans ses grands trait - serait plus efficace pour sensibiliser les webmasters.

A l'heure actuelle - d'apres moi - ce post n'a aucun interret et semble plus un Hoax (sans/avec jeu de mot) qu'a autre chose :?

JeunZ a dit:
Si on en savait plus... C'est incroyable, les personnes malvaillante doivent certainement être au courant et nous non... Alors qu'on pourrait peut être commencer à protéger des choses :)
+1
raspoutine59 a dit:
On pourrait supprimer ce topic inutile merci.
J'vois pas l'interet de crier au loup pour ne rien divulger même en PV. Merci aux modos
+1
 
WRInaute passionné
Il est aussi risible de renommer un fichier spécifique à une application spécifique pour une faille concernant le langage lui-même que de confier sa sécurité à un cryptage tiers proposé par les annonciateurs de la faille en question.
 
Nouveau WRInaute
itsme a dit:
Repondre qu'il faut securiser tel ou tel fichier n'apporte rien puisque on est deja sense le faire.
tout à fait d'accord
surtout que les liens données proposent de sécuriser le fichier "config.php" ce qui n'a pas de sens puisque ce fichier est seulement lisible par les scripts qui sont dans le site donc aucun danger
 
WRInaute impliqué
urtout que les liens données proposent de sécuriser le fichier "config.php" ce qui n'a pas de sens puisque ce fichier est seulement lisible par les scripts qui sont dans le site donc aucun danger
...en théorie, oui.
mais non si - par exemple - tu as sur le site un script dont la fonction est d'afficher le contenu d'un fichier et que ce script puisse etre detourne d'une mainiere ou d'une autre.
Si c'est ca, la fameuse faille, ca ne valait pas le coup de faire tout ce foin pour un si vieux truc.
 
Nouveau WRInaute
itsme a dit:
Si c'est ca, la fameuse faille, ca ne valait pas le coup de faire tout ce foin pour un si vieux truc.
plus1.gif
:mrgreen:
 
WRInaute discret
C’est quand même hallucinant que vous ne vous êtes pas encore rendus compte que ce gamin a eu son CAP en colportage de fausses nouvelles et tout ça uniquement pour créer les topics inutiles et foutre la pagaille. Et vous marchez dedans.
Tous les bulletins d’alertes de sécurité sont sur http://www.frsirt.com/ et la question de sécurisation de certains fichier et dossier de phpBB est vielle comme le forum lui-même.
Discutez ici du problème de référencement et problèmes liés à ce sujet, mais si vous voulez avoir les précisions sur les forums allez sur le site de support de … phpBB en anglais ou français c’est au choix et vous apprendrez l’existence de la MAJ de phpBB vers 2.0.16
 
WRInaute occasionnel
+1 avec hedonism,
Le titre est deja mal choisi et n'a été corrigé par personne. La faille supposée n'a pas été prouvée et en plus ca ne concerne pas tous les sites php, heureusement et je suis allé vérifier chez phpBB, on ne parle pas de ce problême. Ohax qui porte bien son nom veut faire parler de lui et monter ses sites en pr et en lien. Il poste pour n'importe quoi sans verifier ses sources ex : skyblog,phpBB. Il devrait lire avant d'écrire. Ca n'enleve rien à ses qualités, mais faut pas trop en faire quand même !
 
WRInaute impliqué
hedonism a dit:
C’est quand même hallucinant que vous ne vous êtes pas encore rendus compte que ce gamin a eu son CAP en colportage de fausses nouvelles et tout ça uniquement pour créer les topics inutiles et foutre la pagaille.

C'est pas vraiment inutile, si il participe à la pub collaborative de wri... :lol:
 
WRInaute occasionnel
Dj_Apx a dit:
Il est aussi risible de renommer un fichier spécifique à une application spécifique pour une faille concernant le langage lui-même que de confier sa sécurité à un cryptage tiers proposé par les annonciateurs de la faille en question.
clair la securite releve du proprietaire du site uniquement
 
WRInaute impliqué
Mais cette supposée faille ne concerne pas que phpBB, mais TOUS les sites qui combinent php/mysql car c'est une faille dans php, dans le langage en lui même...

Donc ca ne sert a rien de sortir des patch correctif si php n'est pas lui même corrigé....
 
Discussions similaires
Haut