L'accès au support pour les sites piratés est désormais uniquement réservé aux membres connectés
Question Un point sur les dernières alertes de sécurité
- Danakyl
- Auteur du sujet
- Hors Ligne
- Membre premium
ces derniers temps il y a eu pas mal d'alertes de sécurité (parfois très importantes) sur les composants. Je me permets de faire le point ici.
CK Forms 1.3.3 en date du 17 mars:
L'alerte fut postée dès le 18 mars sur le forum officiel avec une réponse positive dès le (ou seulement le...) 20 mars.Les vulnérabilités sont de type injection sql et inclusion de fichier, elles sont confirmées dans la dernière version 1.3.3, les versions antérieures sont aussi concernées.
Actuellement les vulnérabilités sont "colmatées" pour la version 1.3.4 (build 2)
Ninja RSS syndicator le 17 mars:
Réaction le jour même de l'éditeur avec passage à la 1.0.9c puis 1.0.9dUne faille de type injection de fichier est présente sur le composant
Toujours le 17 mars pour Rokdownloads :
Réaction rapide là aussi de l'éditeur avec passage à la 1.0.1Une faille de type injection de fichier est présente sur le composant RokDownloads , et pourrait permettre la mise en danger d'un serveur vulnérable.
Cette faille est identifiée sur la version 1.0, ainsi que sur les versions antérieures.
Le 15 mars pour GCalendar 2.1.5 :
Réaction le 17 mars de l'éditeur avec le passage à la version 2.1.6Une faille de type injection de fichier est présente sur le composant GCalendar , et pourrait permettre la mise en danger d'un serveur vulnérable.
Cette faille est identifiée sur la version 2.1.5, les anciennes versions étant concernées par une faille de type injection Sql.
HD FLV Player 1.3 au 25 février :
La version 1.3.4 (en date du 20 mars) est disponible actuellement mais l'éditeur ne semble pas avoir très bien communiquer comme le montre cet extrait sur joomla.orgUne faille de type injection SQL a été découverte dans le composant HD FLV Player, qui pourrait permettre la mise en danger d'un serveur vulnérable. La vulnérabilité est confirmée dans la version 1.3, ainsi que dans les versions antérieures. Pour information ce composant commercial d'affichage vidéo est aussi disponible en version de démonstration.
"My message was ignored and deleted on the forum, so I have to post it here.
There are many security sites noticed vulnerability in this component.
For example - secunia.com/advisories/38691/
Best wishes!
Owner's reply
None of our customer is affected by SQL injection. Moreover we have checked it completely and released 1.3.2 version which is the latest and stable." No comment
Bon si on résume, que ce soit des extensions très connues ou peu connues, payantes ou gratuites, nul n'est à l'abri de failles !(j'aurais même tendance à dire que les éditeurs d'extensions payantes sont les moins réactifs voire dans le déni)
-Il faut donc régulièrement vérifier les versions de ses extensions (composants, modules etc.)
- s'inscrire ici pour connaitre les alertes de sécurités !
- protéger son (ou ses) site(s) !
Que tous ceux qui seraient surpris de toutes ces failles ne soient pas si étonnés que cela : Joomla! est très populaire et donc beaucoup de ces extensions sont passées au crible. Cela permet aussi d'améliorer au fur et à mesure la sécurité. Et puis aller donc voir ce qui se passe du coté de Wordpress et de sa réputation
Connectez-vous ou Créer un compte pour participer à la conversation.
- lavsteph
- Hors Ligne
- V.I.P
- Fondateur
- Messages : 9394
- Remerciements reçus 500
merci Danakyl pour cette mise au point, je vais apporter quelques précisions.
Certains éditeurs ont encore du mal à communiquer sur les failles concernant leurs produits, c'est un peu dommage mais c'est comme cela. Pour Ninja RSS syndicator par contre l'auteur nous a informé rapidement via Twitter ( là c'est du suivi sérieux )
Quant aux alertes sécurité sur AJ, je ne diffuse que celles qui sont présentes sur le JED, sinon je ne ferai que çà. Pour information :J'ai un système RSS qui m'informe en temps réél de toutes les failles publiées et je fais le tri une fois par jour et je ne publie que si j'ai la confirmation d'au moins 2 sources digne de confiance.
Il y a des jours où une vingtaine de failles sont détectées, cela s'explique souvent facilement par le fait que ce sont des forks, donc si l'extension de base est touchée par une vulnérabilité, les forks utilisant le noyau de la dite extension sont aussi concernés.
Je tiens aussi à remercier les personnes ( elles se reconnaitront ) qui me communique sur les mises à jours ou m'informent sur des failles. La sécurité est l'affaire de tous.
Connectez-vous ou Créer un compte pour participer à la conversation.
- Danakyl
- Auteur du sujet
- Hors Ligne
- Membre premium
Et bien, en effet !...Pour Ninja RSS syndicator par contre l'auteur nous a informé rapidement via Twitter ( là c'est du suivi sérieux )
Connectez-vous ou Créer un compte pour participer à la conversation.
Droit d'accès du forum
- Vous ne pouvez pas: Créer un nouveau sujet.
- Vous ne pouvez pas: Répondre au sujet.
- Vous ne pouvez pas: Éditer votre message.