Dotclear blog - Tag - dotclear:1

Dotclear 1.2.8

Olivier — Fri, 18 Apr 2008 14:17:00 +0200

C'est la semaine des mises à jour de sécurité. Il y a des moments comme ça. Dotclear 1.2.8 vient donc de sortir afin de régler un problème mineur concernant l'envoi de fichiers depuis le gestionnaire d'images.

Une personne mal intentionnée peut envoyer un fichier PHP qui ressemble à une image (et passe donc le seul contrôle effectué) mais contenant du code PHP. Le problème a été corrigé en imposant une restriction aux extensions jpg, jpeg, gif, png, bmp et tiff pour ce qui concerne l'envoi d'images sur le blog.

Sont particulièrement concernés tous ceux qui utilisent un blog Dotclear 1.2.x avec d'autres utilisateurs. Pour mettre à jour, vous pouvez télécharger la dernière version et suivre la procédure habituelle de mise à jour. Vous pouvez également vous contenter de changer le fichier ecrire/images.php par celui-ci.

Comme toujours, cette mise à jour est recommandée pour tout le monde :)

PS: Pour Dotclear 2, quelques explications (et une nouvelle option).

Vieux motard - plugin de mise à jour 1.2.5 vers 1.2.6

Anne — Sun, 27 May 2007 06:58:00 +0200

En dessous de tout.

Huit membres dans la team, aucun pour penser à publier ici le plugin de mise à jour de la version 1.2.5 vers la version 1.2.6. Heureusement que je suis là !

Cette fois-ci c'est Philippe qui s'est penché sur le sort des flemmards et des nuls pour nous permettre d'opérer sans souci le passage à la dernière version.

Mise en œuvre :

Installer le plugin soit en utilisant l'url de l'installeur dans le panneau Outils -> Gestionnaire des plugins, soit en téléchargeant l'archive, en la décompressant puis en l'envoyant dans le répertoire /<ecrire>/tools.
Retourner dans le panneau Outils, cliquer sur le lien du plugin-patch.
Bravo ! Vous avez terminé ! C'est tellement rapide que vous devriez profiter du temps que vous avez devant vous pour faire une petite sauvegarde tiens.

Installeur et archive en pièces jointes. Merci Philippe !

plugin de mise-à-jour vers Dotclear 1.2.5

xave — Wed, 07 Jun 2006 12:04:00 +0000

Bonjour m'sieurs-dames !

Je ne m'en étais pas trop inquiété, la mise-à-jour me semblant facile, mais il semblerait qu'il y ait une demande pour un plugin de mise-à-jour comme la dernière fois, alors je vous ai bricolé ça vite fait. La prochaine fois j'essaierai de prévoir (ici, ça a été un peu précipité, vu qu'un cracker à la petite semaine n'a rien trouvé de meiux que de publier une faille de sécurité sans nous prévenir.)

Alors voici le plugin, il n'a pas été plus testé que ça (chez moi, ça marche :) ) mais devrait fonctionner comme la fois précédente. Notez qu'il demande une version 1.2.4 pour effectuer la mise-à-jour, mais qu'il appliquera également le patch de sécurité (et seulement celui-ci) sur des versions plus anciennes.

Mise à jour de sécurité 1.2.5

Anne — Tue, 06 Jun 2006 06:52:00 +0000

Olivier l'a annoncé sur le forum, une version 1.2.5 corrigeant une faille de sécurité est disponible et vivement recommandée :

DotClear passe en version 1.2.5 pour corriger une faille de sécurité divulguée hier. La faille est exploitable dans le cas d'un serveur configuré avec le paramètre "register_globals" et "allow_url_fopen" à "on". Dans ce cas, il est possible d'appeler un fichier particulier de dotclear et de l'utiliser pour inclure un fichier d'un autre serveur. Si vous avez suffisament d'imagination vous savez ce qu'il est possible de faire de ça.

La mise à jour est vivement recommandée. Vous pouvez également ne changer que le fichier inc/magic_strip.php, c'est suffisant et fonctionne même sur les plus vieilles installations de DotClear.

L'exploit ayant été révélé avant de nous prévenir, je ne citerai ni ne remercierai cette personne dont le comportement est simplement imbécile vis à vis de tous les utilisateurs.

Bonne mise à jour :)

Si vous ne souhaitez pas faire une mise à jour complète pour le moment mais seulement corriger la faille :

Téléchargez le fichier en pièce jointe magic_strip.php.txt a renommer en enlevant .txt et à placer dans le répertoire inc/ à la place du fichier existant.

Important : faille de sécurité potentielle dans DotClear 1.2.x

Pep — Mon, 05 Jun 2006 04:12:00 +0000

Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).

En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :

Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :

Deny from all

Je pense que cela devrait être suffisant.

PS : Cette annonce a également été publiée sur le forum de DotClear.