Fin du concours Pirate-Moi


Le concours Pirate-Moi s'est terminé hier soir.

Dans le cadre du concours, une vulnérabilité pouvant être exploitée sous certaines conditions d'hébergement a été trouvée et sera corrigée dans les jours à venir.

Cette vulnérabilité n'a pas pu être exploitée pour modifier le contenu du site mis en place pour le concours. Ceci étant, pour remercier les concurrents qui se sont donné beaucoup de mal, nous donnerons le linutop3 prévu au premier concurrent ayant découvert ce problème.

D'ici la sortie d'un correctif et pour prévenir tout problème sur votre installation d'Automne, suivez les instructions suivantes ...

Insérez la ligne suivante dans le fichier config.php se trouvant à la racine de votre installation d'Automne pour prévenir tout problème d'ici la sortie d'une mise à jour officielle :

define('FILE_UPLOAD_EXTENSIONS_DENIED', 'exe,php,pif,vbs,bat,com,scr, reg,html,htm,php3,php4,php5,php6,phps,phtml,shtml,sh,py,pl,js,cgi, asp,jsp,aspx,plx,perl');

Seules les versions 4.X.X d'Automne sont concernées par ce problème.

Mise à jour : 2 jours après la découverte de la faille : le correctif est disponible.  La version 4.1.1 d'Automne  règle définitivement ce problème.

Derniers commentaires

Posté par Matsuyama

Salut salut.

Petite erreur dans votre article, je vous invite à lire le mail que je vous ai envoyé ce soir, afin que vous évitiez de minimiser la faille qui est présente sur Automne.

Merci.

Matsuyama.

Posté par Sébastien

Bonjour Matsuyama,

Je viens de répondre à ton email pour expliciter, j'espère, mon point de vue. Pour clarifier les choses, j'ai modifié l'article ci-dessus en conséquence.

Sébastien

Posté par Matsuyama

Bonjour,

Je n'ai pas jeté un coup d'oeil sur le patch correctif que vous avez publié, je me permet juste de donner un conseil vis à vis de la solution temporaire que vous donnez.

Ne serait-il pas plus sécurisé et plus simple de définir un ensemble d'extensions qui seraient autorisées, plutôt que de définir un ensemble d'extensions qui seraient refusées ?

Cela pourrait éviter des oublis sur les extensions (xhtml, xml...).

Si cela a déjà été traité, veuillez m'excuser.

Merci.

Matsuyama.

Posté par Sébastien

Bonjour Matsu,

Comme tu le sais l'ancienne version ne donnait que la possibilité d'employer une blacklist. Temporairement je ne peux donc que proposer d'améliorer cette blacklist.
Sur le patch que nous fournissons (j'en ferai l'annonce officielle dans la journée), en plus de revoir complètement le système d'upload nous sommes passé sur une solution basée sur une white list qui est effectivement bien plus sure.

Sébastien
Laissez un commentaire