ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

    Pour tous ceux qui comme moi ont installé le composant ERROR404 (afin de personnaliser la page 404 et d'envoyer des rapports détaillés par mail) DESINSTALLEZ LE AU PLUS VITE !!!

    Car même sous joomla 2.5.6 ce composant permet aux hackers de mener des attaques XSS cross site scripting et donc d'uploader des dossiers/pages/scripts/trojan sur votre FTP sans même avoir les codes !!!!!!!

    (Merci à CRAWLPROTECT qui m'a permis de trouver le composant déféctueux et de mettre fin aux attaques XSS sous joomla 2.5.6)

    Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide chaque fois que j'ai eu des soucis joomla j'ai toujours trouvé seul et résolu moi même mes sujets...

  • #2
    Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

    Bonjour

    Envoyé par coco13 Voir le message
    Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide chaque fois que j'ai eu des soucis joomla j'ai toujours trouvé seul et résolu moi même mes sujets...
    [MODO]
    Ce forum est de très loin le plus actif dans le monde francophone aussi ce type de remarques ne peut qu'appeler à l'interrogation et j'ai regardé tes différents messages.

    * http://forum.joomla.fr/showthread.ph...enu-joomla-1-7
    Tu t'es auto-répondu en un peu plus d'une heure entre le premier et le second post. Ok, personne ne t'a aidé mais le sujet était précis et on peut supposer que, sur une heure de temps, personne n'avait la connaissance immédiate pour te répondre. Un forum, gratuit qui plus est, ne doit pas être considéré comme un call-center avec une personne dont le job est de répondre dans l'immédiat.

    * http://forum.joomla.fr/showthread.ph...-ecritures-%29
    Un peu plus d'une heure et tu avais une réponse ou à tout le moins un début d'échange avec un autre utilisateur.

    Ensuite, la balle peut être retournée : tu es inscris depuis Novembre 2011 et tu as 8 posts à ton actif. Tu ne l'as donc pas été beaucoup pour les autres.
    [/MODO]
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

      en effet le module error404 : http://extensions.joomla.org/extensi...ror-pages/9309 devrait etre retiré ayant subit moi même des attaques XSS à cause de cette extension...

      Commentaire


      • #4
        Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

        C'est dingue une toute petite critique sur le forum et les modos montent au créno !!
        Inscrit depuis 2011 avec ce compte la (coco13) peut etre... j'ai largement contribué avec d'autres.
        Je vais juste passer mon chemin...
        Et si révéller de nombreuses failles de joomla et des extensions que VOUS publiez n'aide pas alors continuez donc à propager des modules non sécurisés d'autres que moi vous préviendront (peut etre car vu les remerciements de la team ca donne envie...)

        Commentaire


        • #5
          Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

          [Modo]Je n'ai nullement remis en question l'information au coeur de ton post; j'ai juste tenu à modérer ton affirmation éronnée qui laisser penser que les lecteurs de ce forum n'étaient pas très enclin à donner de leur temps pour aider.[/Modo]
          Christophe (cavo789)
          Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

          Commentaire


          • #6
            Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

            Nous avertir est une bonne chose, mais le principal dans ce cas, c'est d'avertir au plus vite le développeur de l'extension...
            Va sur son forum à ce lien: http://www.cdprof.com/forum/22-com-error404

            Pour ma part, je suis d'accord avec cavo789 sur ces remarques et comprend qu'il te reprenne concernant ta critique...
            Un peu de pub: http://www.aplomb.ch

            Commentaire


            • #7
              Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

              Bonjour,

              Envoyé par rorozero Voir le message
              en effet le module error404 : http://extensions.joomla.org/extensi...ror-pages/9309 devrait etre retiré ayant subit moi même des attaques XSS à cause de cette extension...
              http://docs.joomla.org/Vulnerable_Ex...ck_and_Report. Ce lien donne la méthodologie pour rapporter un composant ou extension vulnérable.

              1. Commencer par signaler et vérifier avec l'auteur la pertinence du problème rencontré.
              2. Rapporter la vulnérabilité dans le forum sécurité de Joomla.org http://forum.joomla.org/viewforum.php?f=621 avec le mot Vulnerable en premier mot du sujet.
              3. Lire la liste, toute extension signalée vulnérable ets rapidement vérifiée, testée, etc. Si la vulnérabilité est avérée, l'extension est retirée du JED jusqu'à résolution du problème par l'auteur.

              Merci à CRAWLPROTECT qui m'a permis de trouver le composant déféctueux et de mettre fin aux attaques XSS
              Nous recommandons très souvent l'utilisation de CrawlProtect sur tous types de sites, Joomla! ou autres. Cet outil est un must en sécurité des sites (tout au moins pour les attaques HTTP, les attaques utilisant une faille du mode CGI de PHP n'étant pas tracée).
              Il en va de même avec Hardened PHP (Patches Suhosin), mais uniquement sur les serveurs privés ou dédiés, puisque ces outils ne peuvent être installés sur un mutualisé.

              Quand à la communauté de ce forum, on peut pas dire qu'elle soit très active en matière d'aide
              Sur ce point, je rejoins les autres commentaires.
              Ce forum est gratuit, animé par tous les utilisateurs Joomla!, sur leur temps libre, et chacun en fonction de ses compétences.
              Il est de plus réputé comme l'un des plus actifs du monde francophone, et pas que Joomla! (en particulier de nombreux utilisateurs WordPress apprécieraient la même réactivité dans leurs forums )
              Si tu découvres toi-même la solution très rapidement, avant même qu'une personne comprenant le problème et ayant un élément de solution lise ton post, c'est très bien
              Mais en dénigrant l'ensemble de la communauté, tu cherches à jeter le bébé avec l'eau du bain. Tu ne peux demander à tous les participants du forum d'avoir une réponse immédiate à n'importe quel problème, ni d'être présents sur le forum 24 heures sur 24. On a tous nos activités professionnelles, notre vie de famille, activités sociales, etc. Et on donne aussi du temps pour aider les autres sur le forum.

              Et si révéller de nombreuses failles de joomla et des extensions que VOUS publiez
              Attention à nouveau aux amalgames.
              Ce forum n'est aucunement lié aux divers fournisseurs d'extensions tierces, et vouloir que les modérateurs, dont ce n'est pas le rôle, testent et utilisent les plus de 9.000 extensions Joomla!, les trient, etc. ce serait vouloir ce que même les supports payants des grand éditeurs ne maîtrisent pas, les programmeurs tiers...

              Ici, il ne s'agit que d'un forum d'aide Joomla! francophone, et rien de plus. Vouloir amalgamer un forum d'aide et des éditeurs d'extensions n'est pas logique, que ce soit une phrase dictée par la mauvaise humeur, je veux bien, mais il s'agit d'une allégation particulièrement fausse.

              Inscrit depuis 2011 avec ce compte la (coco13) peut etre... j'ai largement contribué avec d'autres.
              Quel besoin peut-on avoir d'utiliser plusieurs pseudos, sauf si on n'est pas bien dans sa peau ?

              Toute critique est valide quand elle est justifiée. Mais dans ce cas précis, on peut plutôt penser à de la mauvaise foi, et là, il est normal qu'une volée de bois vert s'abatte.
              Pas de demande de support par MP.
              S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

              Commentaire


              • #8
                Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                Et pour la bonne cause, il y a une erreur grossière dans le titre. Error404 n'est PAS un module, mais un ensemble Composant + Plugin + fichiers langue.
                Merci de ne pas entretenir la confusion.
                Pas de demande de support par MP.
                S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                Commentaire


                • #9
                  Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                  Bonjour à tous,

                  Je suis l'auteur du composant com_error404.
                  Deux remarques :
                  - lorsqu'on détecte des failles qui permettent une attaque XSS, la première chose à faire est de prévenir l'auteur EN TOUTE DISCRETION ! En indiquant la possibilité d'attaque dans un forum public, y compris le forum officiel, on ne fait que prévenir les hackers de la possibilité. La plupart des utilisateurs ne consultent pas les forums. En prévenant l'auteur, celui-ci a la possibilité d'apporter les corrections nécessaires puis de proposer une mise à jour.
                  - maintenant concernant le problème lui-même : j'ai installé crawlprotect pour voir ce qu'il en est. Le fonctionnement de crawlprotect est tout simple. En effet il bloque toute adresse du type http://www.votresite.com?variable-ex...ww.example.com. Or toutes les adresses générées par com_error404 sont de ce type ! Il est donc normal que crawlprotect détecte chaque erreur de page. La parade est très simple. Il y a une liste d'exception à ajouter dans les paramètres de crawlprotect. Simplement y ajouter votre nom de domaine : www.votresite.com et votresite.com et crawlprotect ne détectera plus d'erreur.

                  Voila, si malgré ces conseils vous me prouvez qu'il y a un REEL danger, je m'engage bien sur à corriger le composant pour le rendre complètement sur.

                  Bonne continuation,

                  Alain
                  Afin d’améliorer l’éducation de vos enfants et trouver des activités intéressantes à leur proposer, ne ratez pas tous les conseils et les astuces proposés sur notre site.
                  Alain

                  Webmaster de http://www.bolli.fr

                  Commentaire


                  • #10
                    Re : ATTENTION: Grosse Faille dans MODULE ERROR404 JOOMLA 2.5.6

                    Merci pour ce retour et la clarté de ton explication.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X