Dotclear blog - Tag - sécurité

Dotclear 1.2.8

Olivier — Fri, 18 Apr 2008 14:17:00 +0200

C'est la semaine des mises à jour de sécurité. Il y a des moments comme ça. Dotclear 1.2.8 vient donc de sortir afin de régler un problème mineur concernant l'envoi de fichiers depuis le gestionnaire d'images.

Une personne mal intentionnée peut envoyer un fichier PHP qui ressemble à une image (et passe donc le seul contrôle effectué) mais contenant du code PHP. Le problème a été corrigé en imposant une restriction aux extensions jpg, jpeg, gif, png, bmp et tiff pour ce qui concerne l'envoi d'images sur le blog.

Sont particulièrement concernés tous ceux qui utilisent un blog Dotclear 1.2.x avec d'autres utilisateurs. Pour mettre à jour, vous pouvez télécharger la dernière version et suivre la procédure habituelle de mise à jour. Vous pouvez également vous contenter de changer le fichier ecrire/images.php par celui-ci.

Comme toujours, cette mise à jour est recommandée pour tout le monde :)

PS: Pour Dotclear 2, quelques explications (et une nouvelle option).

Dotclear 2.0 beta 7.0.1

Olivier — Thu, 17 Apr 2008 12:04:00 +0200

Une nouvelle version de Dotclear 2, la beta 7.0.1, vient corriger un problème de sécurité pas très grave mais quand même bien présent. Les changements intervenus depuis la beta 7 et maintenant ont fait qu'il était préférable de sortir un beta 7.0.1 n'incluant que les modifications apportées pour corriger le problème. La mise à jour de votre Dotclear sera donc des plus simples.

Le problème réside dans le chargement des fichiers de langue qui pouvait être contourné afin d'inclure un fichier se trouvant ailleurs que dans les répertoires de localisation. Ce problème concerne donc principalement les hébergeurs de blogs à qui je conseille vivement de procéder à la mise à jour en beta 7.0.1.

Merci à Sacha d'avoir trouvé et signalé le problème.

Pour ceux qui mettent à jour avec subversion ou en utilisant les nightly builds, vous serez tranquilles à partir de la révision 1696.

Téléchargez Dotclear 2.0 beta 7.0.1
Pensez à lire les instructions d'installation et/ou de mise à jour

Note: un patch pour passer de la beta 7 (et uniquement cette version) à la beta 7.0.1 est disponible dans les patchs. Si vous ne comprenez pas ce qui est écrit sous la liste des fichiers, utilisez la procédure de mise à jour classique.

Important : faille de sécurité potentielle dans DotClear 1.2.x

Pep — Mon, 05 Jun 2006 04:12:00 +0000

Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).

En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :

Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :

Deny from all

Je pense que cela devrait être suffisant.

PS : Cette annonce a également été publiée sur le forum de DotClear.