Faille de Sécurité Facile Form

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Faille de Sécurité Facile Form

    Bonjour,

    encore du boulot!

    annonce: http://www.facileforms.biz/forum/index.php?topic=461.0

    Fichiers:
    http://www.facileforms.biz/component...,89/Itemid,96/


    A+
    Lenamtl

  • #2
    Pb avec FF

    Bonjour,

    Si j'ai bien compris il y a un petit pb de sécurité sur Facile Form.

    Je suis passé en Joomla 1.0.10, est-ce que je dois aussi utliser cette MAJ? parce que quand je vais là : http://www.facileforms.biz/wiki/Upgrading
    on ne me parle pas de la version 1.0.10 de Joomla.

    Que faut-il faire ?

    Cordialement
    Site d'un artisan : www.bgs-alu.com

    Commentaire


    • #3
      pb accès Records apres install FacileForm 1.4.6 sur joomla 1.0.10

      je l'ai fait l'install de la version 1.4.6 de facile forms sur joomla 1.0.10 avec free comme hébergeur et je me retrouve devant ce pb un peu épineux : tout marche impecc sauf l'affichage des enregistrements des fomulaires saisis, voir ici

      si au pasage d'autres on trouvé la solution à ce problème merci de votre retour

      Commentaire


      • #4
        Salut à tous!
        Je travaille actuellement sur divers formulaires qui ne sont pas publiés sur le site et donc totalement invisibles si on ne connait pas le chemin d'accès!
        Seulement hier soir j'ai constaté avec effroi que quelqu'un (ou quelques chose ... lol) avait rempli un de mes formulaires qui est bien entendu parvenu dans ma boite mail! La dernière partie du formulaire contenant une identification du correspondant a bien évidement été rempli de manière hasardeuse avec un nom - prénom et mail bidon! La seule information valable que je détient est une adresse IP!

        Est-ce du à cette faille de sécurité évoquée un peu plus haut? Je tourne sous Joomla 1.0.10 et FacileForms 1.4.6 ... !

        Merci ...
        Lola...xxx

        Commentaire


        • #5
          Bonjour,

          suite à un sujet posté par Asgard et nFischer, remonté sur le forum de facileform.biz, une faille de sécurité a été identifié par l'auteur, Peter Koch, dans la version 1.4.6g. Un patch pour cette version est disponible, ainsi qu'une nouvelle version 1.4.7.

          Mise à jour immédiate s'impose !

          Discussion sur le forum de FacileForm
          http://www.facileforms.biz/forum/ind...ic,2981.0.html

          Téléchargement
          http://www.facileforms.biz/component...,89/Itemid,96/
          Je suis toujours le développeur de sh404sef, mais il est désormais distribué par Weeblr. Je ne réponds plus aux MP sur ce composant. Merci de votre compréhension.

          Commentaire


          • #6
            Détails de l'annonce :


            FacileForms 1.4.7 Security Release
            Written by Peter Koch
            Thursday, 28 September 2006

            Une vulnerabilité par injection de script a été identifiée et corrigée dans la mise à jour de sécurité 1.4.7 de Facile Forms. Cette vulnerabilité nécessitait soit que register_globals soit activée dans PHP, ou que le paramètre RG_EMULATION de Joomla/Mambo soit sur 1, ce qui est malheureusement la valeur par défaut dans les installations actuelles de Joomla et Mambo. Si ces deux variables, register_globals et RG_EMULATION, sont désactivées, l'exploitation de cette faille n'était pas possible.
            Il est conseillé de mettre à jour vers la version 1.4.7 aussitôt que possible, et pour votre propre sécurité de désactiver registers_globals et RG_EMULATION. FacileForms 1.4.7 est disponible dans la section Téléchargements (du site facileforms.biz), et un correctif est disponible également pour la version 1.4.6.

            A cross-site scripting vulnerability has been identified and fixed in the FacileForms 1.4.7 Security Release. The vulnerability required either PHP's register globals to be enabled, or the RG_EMULATION setting of Joomla/Mambo to on (1) which is unfortunately the default in current joomla and mambo installations. If both register globals as well as RG_EMULATION are off, the exploit was not possible.

            It is advised to upgrade to 1.4.7 ASAP, and for your own safety also turn off register globals and RG_EMULATION. FacileForms 1.4.7 is available now in the Download Section, and there is a patch available for 1.4.6g as well.
            Je suis toujours le développeur de sh404sef, mais il est désormais distribué par Weeblr. Je ne réponds plus aux MP sur ce composant. Merci de votre compréhension.

            Commentaire


            • #7
              C'est sympa, je viens de mettre à jour. Mais quand tu vois ce qu'il y a comme différence entre les deux versions du . php qu'il te file, on se demande ce que ça change. Enfin bon vu mon niveau en php, c'est pas étonnant. Par contre on répète encore le coup de register-global, mais moi je n'ai pas le choix. Faudrait quand même que je trouve une âme charitable pour me dire comment m'en passer...

              Commentaire


              • #8
                Je n'ai pas regardé les différences entre les deux, mais il suffit quelquefois d'un + à la place d'un moins pour faire toute la différence !
                Quant à registers_globals, je pense qu'il y a pas mal de sujets sur le forum à ce propos. Que tu puisses t'en passer ou non dépend des extensions que tu utilises, dont certaines ont besoin de register-globals pour fonctionner. C'est donc au cas par cas que l'on peut voir quelle est la meilleure solution.
                Cela dit, je pense que beaucoup d'extensions de nos jours fonctionnent très bien sans register_globals.
                Je suis toujours le développeur de sh404sef, mais il est désormais distribué par Weeblr. Je ne réponds plus aux MP sur ce composant. Merci de votre compréhension.

                Commentaire


                • #9
                  Tu dois confondre rg_emulation et register_global=off.
                  Facile form fonctionne sans problèmes avec rg_emulaton désactivé.

                  Par contre il est effectivement problématique pour certains d'entre nous qui sommes sur du mutu (ovh) de ne pas pouvoir mettre le register_global à off, et d'entendre les auteurs des extensions dire: "pour que ce soit sécurisé, register_global doit etre à off."

                  Si le register_global doit absolumment etre sur off, alors cette extension ne sera jamais sécurisée chez ovh. Et pas mal d'extensions sont dans ce cas là.
                  Seule solution: changer d'hébergeur?
                  Merci d'éviter les demandes de support par MP.

                  Commentaire


                  • #10
                    Envoyé par AniMo Voir le message
                    Tu dois confondre rg_emulation et register_global=off.
                    Facile form fonctionne sans problèmes avec rg_emulaton désactivé.

                    Par contre il est effectivement problématique pour certains d'entre nous qui sommes sur du mutu (ovh) de ne pas pouvoir mettre le register_global à off, et d'entendre les auteurs des extensions dire: "pour que ce soit sécurisé, register_global doit etre à off."

                    Si le register_global doit absolumment etre sur off, alors cette extension ne sera jamais sécurisée chez ovh. Et pas mal d'extensions sont dans ce cas là.
                    Seule solution: changer d'hébergeur?
                    Il faut lire les docs ovh, car certaines lignes sont ajoutables au .htaccess, comme celle-ci notamment :

                    SetEnv REGISTER_GLOBALS 0

                    Commentaire


                    • #11
                      c'est gentil pour l'info mais elle est bien assez presente sur le forum maintenant

                      en plus le topic date d'un an ...

                      par contre au passage (j'ai pas lu le topic je previens) il faut passer a la version 1.4.7 pour faire fonctionne Facileforms avec le register global sur OFF
                      www.cydjenet.com

                      Commentaire


                      • #12
                        Huhu j'avais pas vu l'année dans le post et j'étais arrivé depuis google mdr =)

                        Commentaire

                        Annonce

                        Réduire
                        1 sur 2 < >

                        C'est [Réglé] et on n'en parle plus ?

                        A quoi ça sert ?
                        La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                        Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                        Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                        Comment ajouter la mention [Réglé] à votre discussion ?
                        1 - Aller sur votre discussion et éditer votre premier message :


                        2 - Cliquer sur la liste déroulante Préfixe.

                        3 - Choisir le préfixe [Réglé].


                        4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                        2 sur 2 < >

                        Assistance au forum - Outil de publication d'infos de votre site

                        Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                        Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                        Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                        UTILISER À VOS PROPRES RISQUES :
                        L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                        Problèmes connus :
                        FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                        Installation :

                        1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                        Archive zip : https://github.com/AFUJ/FPA/zipball/master

                        2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                        3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                        4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                        5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                        6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                        et remplacer www. votresite .com par votre nom de domaine


                        Exemples:
                        Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/
                        Pour executer le script: http://www..com/fpa-fr.php

                        Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                        Télécharger le script fpa-fr.php dans: /public_html/cms/
                        Pour executer le script: http://www..com/cms/fpa-fr.php

                        En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                        Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                        Voir plus
                        Voir moins
                        Travaille ...
                        X