Tweet
Avec les vacances qui approchent, nous avons quelques elfes occupés à faire des heures supplémentaires au pays de Joomla!
Si vous ne l'aviez pas remarqué, Joomla 3.2 apporte de nouvelles fonctionnalités. Malheureusement, l'une de ces nouveautés a un problème qui n'avait pas été découvert lors des nombreux tests des pré-versions.
Courant septembre et octobre, ce sont succédés les cycles d'essai alpha, bêta et release candidate de la nouvelle version de Joomla 3.2, durant lesquels de nombreux membres de la communauté ont trituré la nouvelle version afin de découvrir et résoudre autant de bogues que possible. Mais malheureusement l’un d’entre-eux nous a échappé, et c'est un bogue bloquant la connexion à leur site chez certains utilisateurs. Ce blocage est sans solution simple pour en restaurer l'accès.
Pourquoi rien n’a été fait pour corriger ce bogue ?
C’est ce qu’il peut sembler à première vue, mais ce qui a bloqué les contributeurs, c'est le choix de la direction à prendre pour résoudre ce problème.
En effet, ce souci n'est pas un simple bogue qui peut être corrigé. Il n'y a pas « bonnes réponses».
Les solutions impliquent soit :
Malheureusement, aucune de ces options n’est idéale et la Production Leadership Team (PLT) a du mal à décider de la direction à prendre. Ce qui avait été initialement envisagé comme n’étant qu’un ensemble de patches s'est transformé en un bien plus grand problème.
La bonne nouvelle est qu’un plan vient d’être mis en place et qu’il est actuellement testé avec rigueur.
La version de mise à jour 3.2.1 annulera partiellement les modifications introduites par la version 3.2.0, testera et réglera le chiffrement du mot de passe utilisé.
Cette version permettra de résoudre la plupart des problèmes d'accès, mais malheureusement elle ne pourra pas rétablir automatiquement l'accès à votre site si vous avez déjà été bloqué en raison de l'évolution de la version de PHP.
Voici quelques conseils provisoires pour éviter ces problèmes jusqu'à la sortie de 3.2.1.
J’utilise actuellement un site en production avec Joomla 3.2
Si vous avez déjà installé Joomla 3.2 en un clic et que tout fonctionne, alors pas de soucis. Vous n'avez pas de nouvelle vulnérabilité ! Veillez cependant à ne pas activer l'option mot de passe fort si vous ne l'avez pas déjà fait, sans être dans un environnement de test et sans vérification de la version de PHP que vous utilisez sur votre serveur en production.
Les sites fonctionnant sur PHP 5.3.7 ou supérieur, pour les développements/tests/design et en production profiterons d’une sécurité renforcée qui ne fera que s'améliorer avec la sortie 3.2.1.
Je suis en train de concevoir un site avec Joomla! 3.2
Et vous êtes prêt à le déployer en production. C'est dans ce cas là que les gens ont connu des problèmes de blocage de leurs comptes en déployant leur site sur un serveur exécutant une version de PHP vieille de 4 ans.
Nous avons appris qu’ils avaient utilisé une version de PHP plus récente sur leur serveur de développement que sur celui de production. Ils ont activé l'option de mot de passe fort dans leur environnement de développement de sorte que leur mot de passe admin et autres mots de passe des utilisateurs sont fortement cryptées, mais ils migrent le site sur un environnement d'hébergement avec une très vieille version de PHP (5.3.6 et plus ancien). Malheureusement, ce niveau plus élevé de cryptage du mot de passe n'est pas disponible sur les anciennes versions de PHP. Voilà pourquoi l’accès à leur site est refusé. (Une réinitialisation du mot de passe ne permet pas de résoudre la situation à cause d'un bogue, désormais corrigé dans la version 3.2.1, qui ne permettait pas d’accéder correctement au système de cryptage du mot de passe.)
Si c'est votre cas, et que vous pouvez attendre la mise à jour 3.2.1 avant de déployer votre site, alors votre problème sera résolu.
Sinon, comme alternative, vous pouvez demander à votre société d'hébergement de mettre à jour votre serveur en PHP 5.3.7 ou plus. S'ils le font, pas de soucis, sinon, désactivez l'option mots de passe forts tout en restant sur votre serveur de développement et créez un nouveau compte super-utilisateur dans l’administration à l'aide du niveau précédent de cryptage de mot de passe. Vous pouvez ensuite migrer vers un serveur de production ayant une version inférieure de PHP.
Les mots de passe des utilisateurs créés ou mis à jour pendant que l'option de mot de passe fort est activée ne fonctionneront pas après le déploiement sur le serveur ayant une version PHP inférieure. Ils ont besoin d'être remis à zéro avant de déménager ou être réintroduits dans l'aide du panneau de gestion des utilisateurs de l'administration.
Pour les sites qui ont l'option de mot de passe fort activée, les instructions sur sa désactivation sont disponibles dans l'article de la foire aux questions : comment désactiver le cryptage fort des mots de passes de Joomla 3.2
Je suis actuellement sur Joomla 3.0/3.1
Vous pouvez mettre à jour en Joomla 3.2 et prendre du plaisir avec toutes les nouvelles fonctionnalités, il suffit de ne pas activer l'option de mot de passe fort jusqu'à ce que la version 3.2.1 soit sortie ou vérifier les versions de PHP de votre serveur et suivez les directives ci-dessus.
Je suis actuellement sur Joomla 2.5
Ouf ! Vous n'êtes pas concerné. Comme la version 2.5 est la version de soutien à long terme, les nouvelles fonctionnalités, telles que ce code, n'ont pas été ajoutés à elle depuis la sortie de Joomla 3.0.
Je suis actuellement sur Joomla 1.5
Assurez-vous que tous vos utilisateurs utilisent aussi Internet Explorer 6! (blague, pas taper). Le soutient de Joomla 1.5 a pris fin en décembre 2012 et en tant que tel nous encourageons les utilisateurs à mettre à jour leurs sites à 2.5 ou 3.2. Bien que le logiciel n'est plus supporté, cela ne signifie pas que vos sites cesseront de fonctionner, ils seront par contre vulnérables à des attaques et bugs encore non identifiés.
Quand Joomla 3.2.1 sera disponible ?
Votre boule de cristal est aussi bonne que la mienne ! Parce que le chemin n'est pas clair, ce n'est pas qu’une question de prévoir les heures de bénévolat nécessaires à sa mise en œuvre.
Mais ce sera toujours plus rapide que d’essayer d’avoir l’unanimité parmi nos députés ! Nous avons un groupe de bénévoles, merveilleux, qui travaillent avec diligence pour examiner toutes les conséquences de ces décisions, et proposent d'excellentes solutions qui s'adaptent à tous les scénarios d'utilisation. La seule chose dont on est sûr à cette heure, c’est que la version 3.2.1 devrait être « bientôt » disponible, ce qui pourrait être la semaine prochaine ou en début d'année.
Comment pouvons-nous éviter que cela se reproduise ?
Nous avons tout simplement besoin de plus de personnes aidant à tester et à rapporter des bogues. Lorsque l'appel est lancé pour les tests des Beta et de Release Candidate, nous avons vraiment besoin de nouvelles personnes pour triturer Joomla sur de nombreux environnements d'hébergement différents.
Ceux qui développent ces fonctionnalités les ont déjà testé et débogué dans les environnements qu'ils utilisent tous les jours, nous avons donc besoin d’un regard neuf et de configurations de tests qui reflètent la réalité des environnements d’utilisation de Joomla sur des sites en production. Tous les hébergeurs n’utilisent pas la dernière version à jour de PHP, testez les nouvelles versions sur un répertoire à part de votre serveur si possible par exemple.
Volontaires pour tester ? Si vous êtes en mesure d'aider, rejoignez la liste de diffusion Google Group que nous utilisons pour annoncer les tests de préversion. Il s'agit d'un groupe à faible trafic, de sorte que votre email ne sera pas spammé ! https://groups.google.com/group/jtesters
Traduit librement par Nicolas Ogier d’après l’article de Michael Babker : Mise à jour Joomla 3.2.1 et améliorations de la sécurité
Si vous ne l'aviez pas remarqué, Joomla 3.2 apporte de nouvelles fonctionnalités. Malheureusement, l'une de ces nouveautés a un problème qui n'avait pas été découvert lors des nombreux tests des pré-versions.
Courant septembre et octobre, ce sont succédés les cycles d'essai alpha, bêta et release candidate de la nouvelle version de Joomla 3.2, durant lesquels de nombreux membres de la communauté ont trituré la nouvelle version afin de découvrir et résoudre autant de bogues que possible. Mais malheureusement l’un d’entre-eux nous a échappé, et c'est un bogue bloquant la connexion à leur site chez certains utilisateurs. Ce blocage est sans solution simple pour en restaurer l'accès.
Pourquoi rien n’a été fait pour corriger ce bogue ?
C’est ce qu’il peut sembler à première vue, mais ce qui a bloqué les contributeurs, c'est le choix de la direction à prendre pour résoudre ce problème.
En effet, ce souci n'est pas un simple bogue qui peut être corrigé. Il n'y a pas « bonnes réponses».
Les solutions impliquent soit :
- de casser la rétrocompatibilité, ce qui signifie passer directement sur une version Joomla 4.0. Avec le problème de rompre la compatibilité ascendante que les développeurs préféreraient inclure si nous faisons l'effort d'aller vers une nouvelle version majeure. De plus cela poserait de nouveau la confusion des utilisateurs sur la version LTS qui devrait être numérotée Joomla 3,5 ou 4,5 ! Je vous laisse imaginez le bazar ;
- d’imposer une version de PHP plus récente sur votre serveur. Si vous avez un serveur avec une version de PHP insuffisant, la mise à jour en un clic dans l’administration bloquera certains sites, et empêchera les futurs correctifs de sécurité,
- le rétablissement d'un niveau de sécurité inférieur pour le cryptage des mots de passe ce qui reviendrait à quasiment le même niveau de sécurité que nous avons avec les versions 1,5 et 2.5, voire légèrement meilleur. Mais nous devrions vraiment faire mieux que ça !
Malheureusement, aucune de ces options n’est idéale et la Production Leadership Team (PLT) a du mal à décider de la direction à prendre. Ce qui avait été initialement envisagé comme n’étant qu’un ensemble de patches s'est transformé en un bien plus grand problème.
La bonne nouvelle est qu’un plan vient d’être mis en place et qu’il est actuellement testé avec rigueur.
La version de mise à jour 3.2.1 annulera partiellement les modifications introduites par la version 3.2.0, testera et réglera le chiffrement du mot de passe utilisé.
Cette version permettra de résoudre la plupart des problèmes d'accès, mais malheureusement elle ne pourra pas rétablir automatiquement l'accès à votre site si vous avez déjà été bloqué en raison de l'évolution de la version de PHP.
Voici quelques conseils provisoires pour éviter ces problèmes jusqu'à la sortie de 3.2.1.
J’utilise actuellement un site en production avec Joomla 3.2
Si vous avez déjà installé Joomla 3.2 en un clic et que tout fonctionne, alors pas de soucis. Vous n'avez pas de nouvelle vulnérabilité ! Veillez cependant à ne pas activer l'option mot de passe fort si vous ne l'avez pas déjà fait, sans être dans un environnement de test et sans vérification de la version de PHP que vous utilisez sur votre serveur en production.
Les sites fonctionnant sur PHP 5.3.7 ou supérieur, pour les développements/tests/design et en production profiterons d’une sécurité renforcée qui ne fera que s'améliorer avec la sortie 3.2.1.
Je suis en train de concevoir un site avec Joomla! 3.2
Et vous êtes prêt à le déployer en production. C'est dans ce cas là que les gens ont connu des problèmes de blocage de leurs comptes en déployant leur site sur un serveur exécutant une version de PHP vieille de 4 ans.
Nous avons appris qu’ils avaient utilisé une version de PHP plus récente sur leur serveur de développement que sur celui de production. Ils ont activé l'option de mot de passe fort dans leur environnement de développement de sorte que leur mot de passe admin et autres mots de passe des utilisateurs sont fortement cryptées, mais ils migrent le site sur un environnement d'hébergement avec une très vieille version de PHP (5.3.6 et plus ancien). Malheureusement, ce niveau plus élevé de cryptage du mot de passe n'est pas disponible sur les anciennes versions de PHP. Voilà pourquoi l’accès à leur site est refusé. (Une réinitialisation du mot de passe ne permet pas de résoudre la situation à cause d'un bogue, désormais corrigé dans la version 3.2.1, qui ne permettait pas d’accéder correctement au système de cryptage du mot de passe.)
Si c'est votre cas, et que vous pouvez attendre la mise à jour 3.2.1 avant de déployer votre site, alors votre problème sera résolu.
Sinon, comme alternative, vous pouvez demander à votre société d'hébergement de mettre à jour votre serveur en PHP 5.3.7 ou plus. S'ils le font, pas de soucis, sinon, désactivez l'option mots de passe forts tout en restant sur votre serveur de développement et créez un nouveau compte super-utilisateur dans l’administration à l'aide du niveau précédent de cryptage de mot de passe. Vous pouvez ensuite migrer vers un serveur de production ayant une version inférieure de PHP.
Les mots de passe des utilisateurs créés ou mis à jour pendant que l'option de mot de passe fort est activée ne fonctionneront pas après le déploiement sur le serveur ayant une version PHP inférieure. Ils ont besoin d'être remis à zéro avant de déménager ou être réintroduits dans l'aide du panneau de gestion des utilisateurs de l'administration.
Pour les sites qui ont l'option de mot de passe fort activée, les instructions sur sa désactivation sont disponibles dans l'article de la foire aux questions : comment désactiver le cryptage fort des mots de passes de Joomla 3.2
Je suis actuellement sur Joomla 3.0/3.1
Vous pouvez mettre à jour en Joomla 3.2 et prendre du plaisir avec toutes les nouvelles fonctionnalités, il suffit de ne pas activer l'option de mot de passe fort jusqu'à ce que la version 3.2.1 soit sortie ou vérifier les versions de PHP de votre serveur et suivez les directives ci-dessus.
Je suis actuellement sur Joomla 2.5
Ouf ! Vous n'êtes pas concerné. Comme la version 2.5 est la version de soutien à long terme, les nouvelles fonctionnalités, telles que ce code, n'ont pas été ajoutés à elle depuis la sortie de Joomla 3.0.
Je suis actuellement sur Joomla 1.5
Assurez-vous que tous vos utilisateurs utilisent aussi Internet Explorer 6! (blague, pas taper). Le soutient de Joomla 1.5 a pris fin en décembre 2012 et en tant que tel nous encourageons les utilisateurs à mettre à jour leurs sites à 2.5 ou 3.2. Bien que le logiciel n'est plus supporté, cela ne signifie pas que vos sites cesseront de fonctionner, ils seront par contre vulnérables à des attaques et bugs encore non identifiés.
Quand Joomla 3.2.1 sera disponible ?
Votre boule de cristal est aussi bonne que la mienne ! Parce que le chemin n'est pas clair, ce n'est pas qu’une question de prévoir les heures de bénévolat nécessaires à sa mise en œuvre.
Mais ce sera toujours plus rapide que d’essayer d’avoir l’unanimité parmi nos députés ! Nous avons un groupe de bénévoles, merveilleux, qui travaillent avec diligence pour examiner toutes les conséquences de ces décisions, et proposent d'excellentes solutions qui s'adaptent à tous les scénarios d'utilisation. La seule chose dont on est sûr à cette heure, c’est que la version 3.2.1 devrait être « bientôt » disponible, ce qui pourrait être la semaine prochaine ou en début d'année.
Comment pouvons-nous éviter que cela se reproduise ?
Nous avons tout simplement besoin de plus de personnes aidant à tester et à rapporter des bogues. Lorsque l'appel est lancé pour les tests des Beta et de Release Candidate, nous avons vraiment besoin de nouvelles personnes pour triturer Joomla sur de nombreux environnements d'hébergement différents.
Ceux qui développent ces fonctionnalités les ont déjà testé et débogué dans les environnements qu'ils utilisent tous les jours, nous avons donc besoin d’un regard neuf et de configurations de tests qui reflètent la réalité des environnements d’utilisation de Joomla sur des sites en production. Tous les hébergeurs n’utilisent pas la dernière version à jour de PHP, testez les nouvelles versions sur un répertoire à part de votre serveur si possible par exemple.
Volontaires pour tester ? Si vous êtes en mesure d'aider, rejoignez la liste de diffusion Google Group que nous utilisons pour annoncer les tests de préversion. Il s'agit d'un groupe à faible trafic, de sorte que votre email ne sera pas spammé ! https://groups.google.com/group/jtesters
Traduit librement par Nicolas Ogier d’après l’article de Michael Babker : Mise à jour Joomla 3.2.1 et améliorations de la sécurité
avant : Joomla 3.1.5
aujourd'hui : joomla 3.2
Commentaire