Sortie de Joomla 1.5.6 SECURITE

[tofm2]

Bjr


Sortie d'une maj de sécurité importante pour joomla

http://www.joomlafrance.org/Les_News/Ne ... gee_!.html

faites MAJ

 

[YoyoS]

Changez de script plutôt

Allez reco pour montrer l'énormité de cette faille et de la pourravité de ce script

 

[Ankyo-SG]

Changez de script plutôt

Allez reco pour montrer l'énormité de cette faille et de la pourravité de ce script

Oui exactement, le mieux c'est de changer de CMS, j'ai essayé les deux versions de Joomla, c'est des usines à gaz, un gaz mortel si on sait pas se protéger :lol: :lol:

 

[SpeedAirMan]

YoyoS : peux tu stp étayer tes affirmations ? (pourravité de ce script)
Pourquoi tu ne l'aime pas ? Quels défauts lui trouve-tu ?

Je veux juste m'informer, je connais mal ce script mais je sais qu'il est très populaire (trio de tête des CMS : Joomla, Drupal et WordPress)

 

[YoyoS]

Tu as vu à quoi ressemble la dernière faille de sécurité ? Et bien renseigne toi, tu comprendras tout de suite !! Quasiment aucune vérification de ce qu'entre l'utilisateur dans les champs de formulaire, c'est abusé.

 

[mowmow]

SpeedAirMan > Je pense que tu peux te passer de l'avis des personnes comme YoyoS qui déblatèrent des conneries aussi énormes (je suis pas sûr qu'il ait réellement compris la nature de la faille, ni même comment il est possible de l'exploiter). Ce que je peux te dire, c'est qu'en sachant l'utiliser, c'est un script plus que complet. Usine à gaz ? Pëut-être, et alors ? Un peu de connaissances peuvent te permettre de l'utiliser sur un kimsufi avec une audience supérieure à 8000 visiteurs par jour (expérience vécue).

Joomla est un des meilleurs scripts de CMS du web, tu peux sans problème l'installer, à condition de savoir l'utiliser (c'est sûr que si tu mets ton nez dedans 2 secondes, tu risques pas d'avoir un bon avis dessus, c'est assez compliqué de comprendre la logique de fonctionnement).

Bref, un petit coup de gueule pour m'exprimer et dire que les novices qui connaissent sûrement même pas la notion de framework en PHP ont peut-être un peu de réflexion à faire avant de s'exprimer sur des choses qui les dépassent.

 

[YoyoS]

Bref, sans commentaires, je suis bien avec mon framework maison

Un lien suffit: http://www.milw0rm.com/exploits/6234 pour fermer le clapet a la mowmow

 

[SpeedAirMan]

Un lien suffit: http://www.milw0rm.com/exploits/6234 pour fermer le clapet a la mowmow

énorme


Que fais ton framework ?

 

[YoyoS]

Mon framework ? Il fait juste ce qu'il faut, je rajoute les classes dont j'ai besoin au fur et à mesure Je trouve des bonnes classes sur le net, je les modifies et je les ajoute

Gère les connexions, template, cache, rss, formulaires et compagnie :mrgreen:

Seulement à la différence de cette faille, je respecte la règle de base de tout développeur, vérifier, nettoyer, astiquer tout ce que l'utilisateur entre ^^. Mais bon, j'avoue que la plupart des failles de Joomla proviennent des mods qui ont été ajoutés dessus. Mais celle la 8O

 

[mowmow]

Mets ton framework en opensource, qu'on rigole un peu.

 

[YoyoS]

Pas trop envie de perdre mon temps perso. Mais de toute manière je vois pas ce que tu pourrais faire, ma fonction de check vire tout sur les formulaires et paramètres d'url ... Donc à part blablater...

 

[mickyserv]

Bonjour a tous,
J'utilise Joomla par obligation sur un des sites que j'administre, c'est une usine a gaz, j'ai un peu de mal avec.
Par contre j'utilise un autre CMS : Maximus qui arrive en version 2008 (sécurité accrue, simplicité d'utilisation, grands nombres de modules par défaut, etc...)

http://php-maximus.org/

Un CMS français !!! Une communauté très sympa et réactive

Bonne visite....

 

[loran750]

mickyserv : qui lui aussi (maximus) est "victime" d'une faille de sécurité. Par contre, dommage que ce soit un énième Nuke like :-(

Conclusion : rien n'est infaillible, voilà pourquoi la réactivité d'un CMS est très importante.

 

[mickyserv]

mickyserv : qui lui aussi (maximus) est "victime" d'une faille de sécurité. Par contre, dommage que ce soit un énième Nuke like :-(

Conclusion : rien n'est infaillible, voilà pourquoi la réactivité d'un CMS est très importante.

Entièrement d'accord, c'est pourquoi la version BS a été revu (d'ailleurs l'actualité est sur le colmatage du faille) et devient 2008.
Oui c'est un Nuke à l'origine, mais l'évolution fait qu'il n'a plus grand chose d'un nuke.

C'est un CMS qui risque de faire parler de lui, la réactivité des programmeurs est sans cesse sur la brèche, sans relache depuis plus de 3 ans.

A voir, mais dans ce monde, les goûts et le couleurs ne se discutent pas !!!!

 

[SpeedAirMan]

Concernant PHP Maximus CMS : quand je vois leur page d'accueil truffée d'Ajax (liens en JavaScript), d'URLs contenant un ou plusieurs underscores, le code HTML de la page d'accueil, je me dis que ce CMS doit être un cauchemar pour tous les référenceurs...

 

[mickyserv]

Concernant PHP Maximus CMS : quand je vois leur page d'accueil truffée d'Ajax (liens en JavaScript), d'URLs contenant un ou plusieurs underscores, le code HTML de la page d'accueil, je me dis que ce CMS doit être un cauchemar pour tous les référenceurs...

La page d'accueil est un délire du webmaster, rien a voir avec le code de Maximus

 

[SpeedAirMan]

... et le webmaster du site de PHP Maximus CMS ne fait pas parti de l'équipe de développement du CMS ? ça fait peur quand même.

 

[mickyserv]

... et le webmaster du site de PHP Maximus CMS ne fait pas parti de l'équipe de développement du CMS ? ça fait peur quand même.

Oui il fait partie des développeur, mais ca n'empeche pas de tester des choses sans les optimiser, ni les sécuriser, d'ailleurs si tu veux te casser les dents a essayer de hacker le site, tu peux essayer....

Un site fait avec la dernière version de Maximus 2008 (cette version n'est pas encore libérée, sauf aux testeurs) :
http://www.gymaweb.com/

C'est comme les autres CMS, on fait ce que l'on veut en terme de template, donc chacun peut personnaliser l'aspect du site, sans pour autant respecter le w3c ou autre.

Encore une fois ce CMS en terme de sécurité, de kernel et même de référencement (url rewritting, création d'un sitemap automatique, la version installé avant la personnalisation est presque w3c sur tous les modules, etc....) essaye d'être optimisé au maximum en suivant les évolutions du référencement.

Donc encore des choses sont a critiquer (d'ailleurs les développeurs sont les premiers a le faire, et a rectifier le tir), mais c'est un CMS qui marche bien, ce n'est que mon avis.

 

[Ankyo-SG]

J’ai lu sur un site de l’actualité informatique que deux espaces ministériels français basés sur la version 1.5 de Joomla se sont fait pirater. Cet exploit a été baptisé "Joomla 1.5.x Remote Admin Password Change".

 

[fra_arf]

Roh, je me suis toujours demandé comment joomla arrive en tête de liste des cms.
Ce n'est ni pour l'optimisation, ni pour la sécurité...

Pourtant y'a une communauté assez importante derrière...
Après entre avoir une faille de sécurité toute nouvelle, qui vient juste de sortir, mais alors celle là, elle est bien commique quand même :lol:

 

[emilia123]

bonsoir à tous,

je partage l'avis de YoYos.
Je ne critique pas l'utilisation du CMS Joomla, mais ses problèmes de sécurité.

le site milw0rm est une bonne référence pour donner un indice sur la qualité de la sécurisation.
http://www.milw0rm.com/search.php?dong= ... mit=Submit
il a une liste ENORME de faille de sécurité sortie en rien que les 3 derniers mois, pire que les mises à jour de windows

De même, sans comparaison de fonctionnalité ou autre :
http://www.milw0rm.com/search.php?dong= ... mit=Submit (1 seule réponse)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (il y a eu des réponses il y a quelques temps)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (ils ont eu une mauvaise période, mais seulement 1 réponse pour les 3 derniers mois)

Bonne soirée à tous

EM.

 

[Alden]

Je rebondis sur le sujet car j'envisageais d'installer Joomla, du coup je m'interroge.

Selon vous quel serait le meilleur cms ?
Je veux dire par là que ce soit niveau sécurité, optimisation référencement ou possibilité d'évolution/modification.
Je sais bien que ça dépend également des besoins, les miens étant assez général et sans originalité à savoir : news, articles, téléchargement, annonces avec administration annonceurs, annuaire avec administration, forum (interne ou autre mais intégrable)

Merci pour vos réponses.

 

[loran750]

Bah, ça reste un très bon CMS, très actif, comme les 3 ou 4 qui trustent le marché actuellement (je cite typo3light, modx, joomla, typo3, peut être drupal)...

... du moment que tu le mettes à jour à chaque fois qu'il y a nue mise à jour de sécurité. Et que tu fasses attention quand tu prends une extension (3rd party extention) : qu'il soit à jour, sécurisé, éprouvé.

Voilà

 

[pouloupoupo]

bonsoir à tous,

je partage l'avis de YoYos.
Je ne critique pas l'utilisation du CMS Joomla, mais ses problèmes de sécurité.

le site milw0rm est une bonne référence pour donner un indice sur la qualité de la sécurisation.
http://www.milw0rm.com/search.php?dong= ... mit=Submit
il a une liste ENORME de faille de sécurité sortie en rien que les 3 derniers mois, pire que les mises à jour de windows

De même, sans comparaison de fonctionnalité ou autre :
http://www.milw0rm.com/search.php?dong= ... mit=Submit (1 seule réponse)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (il y a eu des réponses il y a quelques temps)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (ils ont eu une mauvaise période, mais seulement 1 réponse pour les 3 derniers mois)

Bonne soirée à tous

EM.

C'est vrai que joomla fait beaucoup parlé de lui avec ses failles mais deux petites remarques très importantes!

Ton indice sur la qualité de sécurisation n'est pas du tout fiable et j'ose dire complétement faux car :
-il dépend de la notoriété du cms( on compare ce qui n'est pas comparable)
-qui te dis que toutes les failles des autres cms ont été publiées?
- sur la page de recherche de milworm on ne voit pratiquement que des failles pour les composants!!!


Deuxièment j'ai trouvé ça sur http://linuxfr.org/~kursus_hc/27042.html

Posté par skud () le 14/08/2008 à 08:13. (lien). Évalué à 7.

J'ai regardé le code de la faille, ça n'a rien à voir avec de l'échappement. En mettant # à la place de ' ça marche aussi, et en laissant une chaîne vide ça marche également (à condition de désactiver javascript dans le navigateur).

Les requêtes SQL sont correctement échappées dans Joomla et les saisies de formulaires sont vérifiés.
Le problème est que le fameux code qui être saisi est normalement composé que de lettres et de chiffres. Joomla nettoie ce code en supprimant tout ce qui n'est pas lettre ou chiffre puis effectue un échappement.

Le déroulé de la faille est le suivant:
o saisie par exemple du token: ###{{}{}
o nettoyage par Joomla: le token devient une chaîne vide
o échappement par Joomla de la chaîne vide
o Le code SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token) devient SELECT id FROM jos_users WHERE block = 0 AND activation = ''
o La colonne activation de la table SQL est vide pour un utilisateur n'ayant pas demandé la réinitialisation de son mot de passe, d'où le bug et son code de correction.

Donc oui, la faille aurait du être évitée, mais ce n'est pas non plus aussi trivial que ça.

Je n'ai pas vérifié mais si c'est exact il y a des membres ici ont la gachette facile et qui ne se gênent pas pour tirer des concusions hâtives.....

 

[YoyoS]

C'est quand même un problème de vérification sur la saisie ...

 

[bobomazo]

pro joomla

je vais être très terre à terre, mais www.joomla.org qui fait partie des sites les plus fréquentés du web (pr 9 !) ne semble pas connaître de problèmes (apparents) de sécurité !

Perso, j'ai plusieurs sites joomla (1.0.15) et avec quelques ajustements pour la sécurité, je n'ai pas de soucis. Et pourtant, les tentatives d'attaque ne manquent pas !!!

Alors que penser ? En tous cas, n'oublions pas de féliciter l'équipe de développeurs qui continuent à améliorer ce CMS. C'est gratuit et c'est rare, et pour les gars qui ne sont pas développeurs (oui, il y en a...), Joomla c'est du pain béni !