× Les solutions aux failles de Joomla - Signaler une faille concernant Joomla ou ses extensions.
L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés

Question Un point sur les dernières alertes de sécurité

Plus d'informations
28 Mar 2010 11:34 - 28 Mar 2010 11:36 #1 par Danakyl
Bonjour,
ces derniers temps il y a eu pas mal d'alertes de sécurité (parfois très importantes) sur les composants. Je me permets de faire le point ici.

CK Forms 1.3.3
en date du 17 mars:

Les vulnérabilités sont de type injection sql et inclusion de fichier, elles sont confirmées dans la dernière version 1.3.3, les versions antérieures sont aussi concernées.

L'alerte fut postée dès le 18 mars sur le forum officiel avec une réponse positive dès le (ou seulement le...) 20 mars.
Actuellement les vulnérabilités sont "colmatées" pour la version 1.3.4 (build 2)

Ninja RSS syndicator le 17 mars:

Une faille de type injection de fichier est présente sur le composant

Réaction le jour même de l'éditeur avec passage à la 1.0.9c puis 1.0.9d

Toujours le 17 mars pour Rokdownloads :

Une faille de type injection de fichier est présente sur le composant RokDownloads , et pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est identifiée sur la version 1.0, ainsi que sur les versions antérieures.

Réaction rapide là aussi de l'éditeur avec passage à la 1.0.1

Le 15 mars pour GCalendar 2.1.5 :

Une faille de type injection de fichier est présente sur le composant GCalendar , et pourrait permettre la mise en danger d'un serveur vulnérable.

Cette faille est identifiée sur la version 2.1.5, les anciennes versions étant concernées par une faille de type injection Sql.

Réaction le 17 mars de l'éditeur avec le passage à la version 2.1.6

HD FLV Player 1.3
au 25 février :

Une faille de type injection SQL a été découverte dans le composant HD FLV Player, qui pourrait permettre la mise en danger d'un serveur vulnérable. La vulnérabilité est confirmée dans la version 1.3, ainsi que dans les versions antérieures. Pour information ce composant commercial d'affichage vidéo est aussi disponible en version de démonstration.

La version 1.3.4 (en date du 20 mars) est disponible actuellement mais l'éditeur ne semble pas avoir très bien communiquer comme le montre cet extrait sur joomla.org
"My message was ignored and deleted on the forum, so I have to post it here.
There are many security sites noticed vulnerability in this component.
For example - secunia.com/advisories/38691/

Best wishes!
Owner's reply

None of our customer is affected by SQL injection. Moreover we have checked it completely and released 1.3.2 version which is the latest and stable." No comment :(

Bon si on résume, que ce soit des extensions très connues ou peu connues, payantes ou gratuites, nul n'est à l'abri de failles !(j'aurais même tendance à dire que les éditeurs d'extensions payantes sont les moins réactifs voire dans le déni)

-Il faut donc régulièrement vérifier les versions de ses extensions (composants, modules etc.)
- s'inscrire ici pour connaitre les alertes de sécurités !
- protéger son (ou ses) site(s) ! ;)

Que tous ceux qui seraient surpris de toutes ces failles ne soient pas si étonnés que cela : Joomla! est très populaire et donc beaucoup de ces extensions sont passées au crible. Cela permet aussi d'améliorer au fur et à mesure la sécurité. Et puis aller donc voir ce qui se passe du coté de Wordpress et de sa réputation :P
Dernière édition: 28 Mar 2010 11:36 par Danakyl.

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
29 Mar 2010 12:41 #2 par lavsteph
Réponse de lavsteph sur le sujet Re:Un point sur les dernières alertes de sécurité
Bonjour,

merci Danakyl pour cette mise au point, je vais apporter quelques précisions.

Certains éditeurs ont encore du mal à communiquer sur les failles concernant leurs produits, c'est un peu dommage mais c'est comme cela. Pour Ninja RSS syndicator par contre l'auteur nous a informé rapidement via Twitter ( là c'est du suivi sérieux ;) )

Quant aux alertes sécurité sur AJ, je ne diffuse que celles qui sont présentes sur le JED, sinon je ne ferai que çà. Pour information :J'ai un système RSS qui m'informe en temps réél de toutes les failles publiées et je fais le tri une fois par jour et je ne publie que si j'ai la confirmation d'au moins 2 sources digne de confiance.

Il y a des jours où une vingtaine de failles sont détectées, cela s'explique souvent facilement par le fait que ce sont des forks, donc si l'extension de base est touchée par une vulnérabilité, les forks utilisant le noyau de la dite extension sont aussi concernés.

Je tiens aussi à remercier les personnes ( elles se reconnaitront ;) ) qui me communique sur les mises à jours ou m'informent sur des failles. La sécurité est l'affaire de tous. :)

Connectez-vous ou Créer un compte pour participer à la conversation.

Plus d'informations
29 Mar 2010 21:53 #3 par Danakyl
Réponse de Danakyl sur le sujet Re:Un point sur les dernières alertes de sécurité
lavsteph écrit:

...Pour Ninja RSS syndicator par contre l'auteur nous a informé rapidement via Twitter ( là c'est du suivi sérieux ;) )

Et bien, en effet ! :)

Connectez-vous ou Créer un compte pour participer à la conversation.

  • Vous ne pouvez pas: Créer un nouveau sujet.
  • Vous ne pouvez pas: Répondre au sujet.
  • Vous ne pouvez pas: Éditer votre message.
Modérateurs: lavstephxillibittramber91Scottuxsergestarter
Temps de génération de la page : 0.166 secondes