hg S’enregistrer Bac Tunisie Algorithmique et programmation : BAC INFORMATIQUE En Tunisie forum informatique Tunisie

Bac Tunisie Algorithmique et programmation : BAC INFORMATIQUE En Tunisie  forum informatique Tunisie Index du Forum

hg Bac Tunisie Algorithmique et programmation TIC réseaux php javascript sql access activités programmation c
hg
FAQ FAQ Rechercher Rechercher Membres Membres Groupes Groupes Profil Profil Se connecter pour vérifier ses messages privés Messages Privés Connexion Connexion


 Forum de l'excellence et l'excellence en innovation 
Pour participer à notre Forum, vous devez
 
inscrire sur notre forum a partir d'ici
 
  NB :
Les membres ''zéro messages'' seront supprimés automatiquement après un nombre de jours donné !!!!
             
   
 
  
forum d'aide informatique : internet, réseau, programmation informatique ...
Faille dans WordPress 3.0.4 et pas de patch pour le moment
 
 
Poster un nouveau sujet   Répondre au sujet    Bac Tunisie Algorithmique et programmation : BAC INFORMATIQUE En Tunisie forum informatique Tunisie Index du Forum -> ::: Divers sujets:: -> Discussions, Echanges
hg Sujet précédent :: Sujet suivant   hd
Auteur Message
KARIMOS
Administrateur

Hors ligne

Inscrit le: 02 Nov 2008
Messages: 1 710
Masculin
Point(s): 5 479
Moyenne de points: 0

Posté le: Ven 31 Déc - 14:35 (2010)    Sujet du message: Faille dans WordPress 3.0.4 et pas de patch pour le moment Répondre en citant

PublicitéSupprimer les publicités ?
Edit : Xavier de WordPress-fr a publié un article expliquant son point de vue sur la non dangerosité de cette faille. Sur le fond il a raison, comme je le dit, la faille s’applique uniquement aux rôles éditeurs, ce qui pour la majorité des blogs n’est pas important car il n’y a qu’un ou quelques éditeurs de confiance qui ne s’amuseront pas à exploiter cette faille. Mais il s’agit quand même bien d’une faille et pas d’une fonctionnalité d’HTML non filtré comme l’explique Xavier. On peut jouer sur les mots mais le fait est que certains plugins permettent aux internautes d’utiliser ce rôle éditeur pour par exemple soumettre des articles. Peut être avez vous aussi une relative confiance en vos éditeurs qui peuvent effectivement mettre des balises HTML non fermées et mettre un peu le basar dans la mise en page de la page (à cause de l’HTML non filtré) mais pas au point de les laisser récupérer vos infos de sessions ou d’obtenir un rôle admin (à cause de la faille XSS). Donc oui, je suis d’accord avec Xavier pour dire que peu de gens sont dans ce cas là car ils n’ont pas ces plugins et ont confiance absolue en leurs éditeurs et loin de moi l’idée de répandre la terreur dans vos chaumières ^^ mais pas d’accord pour dire que cette faille est minime et n’est qu’en fait un genre de fonctionnalité d’HTML non filtré ++. D’ailleurs si c’était le cas, WordPress n’aurait pas corrigé en urgence la faille sur la 3.0.3 et envoyé un mail dans la foulée à tout le monde pour dire de vite mettre à jour. Question de point de vue j’imagine

Ce matin, je vous signalais une mise à jour vers WordPress 3.0.4 suite à une faille XSS accessible aux gens qui ont des permissions « éditeur » sur votre WordPress. La faille était assez importante si vous utilisez un WordPress participatif (avec plusieurs rédacteurs) ou des plugins de soumission d’articles comme TDO Mini Forms…etc car une personne disposant de ces droits aurait pu exploiter une telle faille.
Mais manque de bol, malgré la mise à jour, une faille similaire persiste toujours. Toutes les versions 3.0.3 et 3.04 (et probablement les précédentes) sont faillibles, et le code malicieux peut être inséré directement à partir des commentaires. Pas de patch pour le moment donc je vous recommande de désactiver les accès éditeurs des gens qui ont accès à votre site (sauf si vous avez la confiance comme dirait l’autre) et surtout de désactiver temporairement les plugins qui permettent aux internautes de vous soumettre des données en tant qu’éditeur comme TDOMF. Si vous n’êtes dans aucun de ces 2 cas de figures, pas la peine de paniquer plus que ça.
Attendez vous à une mise à jour de WordPress prochainement !
#Ouin
Merci à Paul pour l’info !


 
Revenir en haut
Contenu Sponsorisé






Posté le: Aujourd’hui à 17:31 (2016)    Sujet du message: Faille dans WordPress 3.0.4 et pas de patch pour le moment

 
Revenir en haut
Montrer les messages depuis:   
bg bd
Poster un nouveau sujet   Répondre au sujet    Bac Tunisie Algorithmique et programmation : BAC INFORMATIQUE En Tunisie forum informatique Tunisie Index du Forum -> ::: Divers sujets:: -> Discussions, Echanges Toutes les heures sont au format GMT + 1 Heure
 
Page 1 sur 1

 
Sauter vers:  
Index | créer forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation