ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

    Pour tous ceux qui comme moi ont installé le composant ERROR404 (afin de personnaliser la page 404 et d'envoyer des rapports détaillés par mail) DESINSTALLEZ LE AU PLUS VITE !!!

    Car même sous joomla 2.5.6 ce composant permet aux hackers de mener des attaques XSS cross site scripting et donc d'uploader des dossiers/pages/scripts/trojan sur votre FTP sans même avoir les codes !!!!!!!

    (Merci à CRAWLPROTECT qui m'a permis de trouver le composant déféctueux et de mettre fin aux attaques XSS sous joomla 2.5.6)

    Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide chaque fois que j'ai eu des soucis joomla j'ai toujours trouvé seul et résolu moi même mes sujets...

  • #2
    Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

    Bonjour

    Envoyé par coco13 Voir le message
    Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide chaque fois que j'ai eu des soucis joomla j'ai toujours trouvé seul et résolu moi même mes sujets...
    [MODO]
    Ce forum est de très loin le plus actif dans le monde francophone aussi ce type de remarques ne peut qu'appeler à l'interrogation et j'ai regardé tes différents messages.

    * http://forum.joomla.fr/showthread.ph...enu-joomla-1-7
    Tu t'es auto-répondu en un peu plus d'une heure entre le premier et le second post. Ok, personne ne t'a aidé mais le sujet était précis et on peut supposer que, sur une heure de temps, personne n'avait la connaissance immédiate pour te répondre. Un forum, gratuit qui plus est, ne doit pas être considéré comme un call-center avec une personne dont le job est de répondre dans l'immédiat.

    * http://forum.joomla.fr/showthread.ph...-ecritures-%29
    Un peu plus d'une heure et tu avais une réponse ou à tout le moins un début d'échange avec un autre utilisateur.

    Ensuite, la balle peut être retournée : tu es inscris depuis Novembre 2011 et tu as 8 posts à ton actif. Tu ne l'as donc pas été beaucoup pour les autres.
    [/MODO]
    Christophe (cavo789)
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
    Mes logiciels OpenSource : https://www.avonture.be

    Commentaire


    • #3
      Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

      en effet le module error404 : http://extensions.joomla.org/extensi...ror-pages/9309 devrait etre retiré ayant subit moi même des attaques XSS à cause de cette extension...

      Commentaire


      • #4
        Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

        C'est dingue une toute petite critique sur le forum et les modos montent au créno !!
        Inscrit depuis 2011 avec ce compte la (coco13) peut etre... j'ai largement contribué avec d'autres.
        Je vais juste passer mon chemin...
        Et si révéller de nombreuses failles de joomla et des extensions que VOUS publiez n'aide pas alors continuez donc à propager des modules non sécurisés d'autres que moi vous préviendront (peut etre car vu les remerciements de la team ca donne envie...)

        Commentaire


        • #5
          Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

          [Modo]Je n'ai nullement remis en question l'information au coeur de ton post; j'ai juste tenu à modérer ton affirmation éronnée qui laisser penser que les lecteurs de ce forum n'étaient pas très enclin à donner de leur temps pour aider.[/Modo]
          Christophe (cavo789)
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

            Nous avertir est une bonne chose, mais le principal dans ce cas, c'est d'avertir au plus vite le développeur de l'extension...
            Va sur son forum à ce lien: http://www.cdprof.com/forum/22-com-error404

            Pour ma part, je suis d'accord avec cavo789 sur ces remarques et comprend qu'il te reprenne concernant ta critique...
            Un peu de pub: http://www.aplomb.ch

            Commentaire


            • #7
              Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

              Bonjour,

              Envoyé par rorozero Voir le message
              en effet le module error404 : http://extensions.joomla.org/extensi...ror-pages/9309 devrait etre retiré ayant subit moi même des attaques XSS à cause de cette extension...
              http://docs.joomla.org/Vulnerable_Ex...ck_and_Report. Ce lien donne la méthodologie pour rapporter un composant ou extension vulnérable.

              1. Commencer par signaler et vérifier avec l'auteur la pertinence du problème rencontré.
              2. Rapporter la vulnérabilité dans le forum sécurité de Joomla.org http://forum.joomla.org/viewforum.php?f=621 avec le mot Vulnerable en premier mot du sujet.
              3. Lire la liste, toute extension signalée vulnérable ets rapidement vérifiée, testée, etc. Si la vulnérabilité est avérée, l'extension est retirée du JED jusqu'à résolution du problème par l'auteur.

              Merci à CRAWLPROTECT qui m'a permis de trouver le composant déféctueux et de mettre fin aux attaques XSS
              Nous recommandons très souvent l'utilisation de CrawlProtect sur tous types de sites, Joomla! ou autres. Cet outil est un must en sécurité des sites (tout au moins pour les attaques HTTP, les attaques utilisant une faille du mode CGI de PHP n'étant pas tracée).
              Il en va de même avec Hardened PHP (Patches Suhosin), mais uniquement sur les serveurs privés ou dédiés, puisque ces outils ne peuvent être installés sur un mutualisé.

              Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide
              Sur ce point, je rejoins les autres commentaires.
              Ce forum est gratuit, animé par tous les utilisateurs Joomla!, sur leur temps libre, et chacun en fonction de ses compétences.
              Il est de plus réputé comme l'un des plus actifs du monde francophone, et pas que Joomla! (en particulier de nombreux utilisateurs WordPress apprécieraient la même réactivité dans leurs forums )
              Si tu découvres toi-même la solution très rapidement, avant même qu'une personne comprenant le problème et ayant un élément de solution lise ton post, c'est très bien
              Mais en dénigrant l'ensemble de la communauté, tu cherches à jeter le bébé avec l'eau du bain. Tu ne peux demander à tous les participants du forum d'avoir une réponse immédiate à n'importe quel problème, ni d'être présents sur le forum 24 heures sur 24. On a tous nos activités professionnelles, notre vie de famille, activités sociales, etc. Et on donne aussi du temps pour aider les autres sur le forum.

              Et si révéller de nombreuses failles de joomla et des extensions que VOUS publiez
              Attention à nouveau aux amalgames.
              Ce forum n'est aucunement lié aux divers fournisseurs d'extensions tierces, et vouloir que les modérateurs, dont ce n'est pas le rôle, testent et utilisent les plus de 9.000 extensions Joomla!, les trient, etc. ce serait vouloir ce que même les supports payants des grand éditeurs ne maîtrisent pas, les programmeurs tiers...

              Ici, il ne s'agit que d'un forum d'aide Joomla! francophone, et rien de plus. Vouloir amalgamer un forum d'aide et des éditeurs d'extensions n'est pas logique, que ce soit une phrase dictée par la mauvaise humeur, je veux bien, mais il s'agit d'une allégation particulièrement fausse.

              Inscrit depuis 2011 avec ce compte la (coco13) peut etre... j'ai largement contribué avec d'autres.
              Quel besoin peut-on avoir d'utiliser plusieurs pseudos, sauf si on n'est pas bien dans sa peau ?

              Toute critique est valide quand elle est justifiée. Mais dans ce cas précis, on peut plutôt penser à de la mauvaise foi, et là, il est normal qu'une volée de bois vert s'abatte.
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire


              • #8
                Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                Et pour la bonne cause, il y a une erreur grossière dans le titre. Error404 n'est PAS un module, mais un ensemble Composant + Plugin + fichiers langue.
                Merci de ne pas entretenir la confusion.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                  Bonjour à tous,

                  Je suis l'auteur du composant com_error404.
                  Deux remarques :
                  - lorsqu'on détecte des failles qui permettent une attaque XSS, la première chose à faire est de prévenir l'auteur EN TOUTE DISCRETION ! En indiquant la possibilité d'attaque dans un forum public, y compris le forum officiel, on ne fait que prévenir les hackers de la possibilité. La plupart des utilisateurs ne consultent pas les forums. En prévenant l'auteur, celui-ci a la possibilité d'apporter les corrections nécessaires puis de proposer une mise à jour.
                  - maintenant concernant le problème lui-même : j'ai installé crawlprotect pour voir ce qu'il en est. Le fonctionnement de crawlprotect est tout simple. En effet il bloque toute adresse du type http://www.votresite.com?variable-ex...ww.example.com. Or toutes les adresses générées par com_error404 sont de ce type ! Il est donc normal que crawlprotect détecte chaque erreur de page. La parade est très simple. Il y a une liste d'exception à ajouter dans les paramètres de crawlprotect. Simplement y ajouter votre nom de domaine : www.votresite.com et votresite.com et crawlprotect ne détectera plus d'erreur.

                  Voila, si malgré ces conseils vous me prouvez qu'il y a un REEL danger, je m'engage bien sur à corriger le composant pour le rendre complètement sur.

                  Bonne continuation,

                  Alain
                  www.cdprof.com
                  Alain

                  Webmaster de http://www.bolli.fr

                  Commentaire


                  • #10
                    Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                    Merci pour ce retour et la clarté de ton explication.
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X