Discussion au sujet de la version 3.6.4 stable

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • #16
    Re : Discussion au sujet de la version 3.6.4 stable

    Envoyé par GraphiqueDesign Voir le message
    Mais si je suis ton raisonnement, ceux qui n'ont pas fait la mise à jour immédiatement se trouve d'avantage encore exposés aux attaques ou je me trompe ?
    Ce n'est pas tout à fait vrai, en fait lors de publication de mise à jour corrigeant un problème de sécurité, il y a une recrudescence de tentatives de hack. C'était déjà le cas avant mais aujourd'hui, on prends sérieusement en compte la communication et la transparence autour de ce phénomène.

    Si une équipe comme sucuri vous indique avoir recensé plus de 16600 attaques par jour lors de la première annonce de ce genre, on est encore loin de la vérité !


    Donc que l'on communique ou non, le problème sera toujours là.

    Après vous avez le choix :
    - d'effectuer la mise à jour,

    - de comprendre la faille pour patcher votre ancienne version de joomla car vous avez encore des composants tierces qui n'ont pas été suivis,

    - de prendre une solution de protection qui bloque cette faille.

    Dans tous les cas, je pense que le message est passé mais que les efforts sont encore à faire pour être compris de tous.

    Yann
    Dernière édition par daneel à 26/10/2016, 14h09
    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

    Commentaire


    • #17
      Re : Discussion au sujet de la version 3.6.4 stable

      Mise à jour effectuée sur 2 sites avec succès.
      Merci à toute l'équipe.

      Bruno

      Commentaire


      • #18
        Re : Discussion au sujet de la version 3.6.4 stable

        Envoyé par daneel Voir le message
        Donc que l'on communique ou non, le problème sera toujours là.
        Je comprends bien cela.
        Mais la page http://www.fox.ra.it/technical-artic...erability.html indique clairement où se situe la vulnérabilité dans le code, c'est cela que je ne comprends pas. Pourquoi après même pas 24 heures de délai suite à la diffusion du patch, on trouve une page qui indique la faille dans le code ? Car il semble évident que dans ces conditions, les attaques vont fuser sur les sites non à jour, qui s'en étonnerait.

        Et dans ce cas, un webmaster qui est par exemple en déplacement et qui ne rentre que dans une dizaine de jours a combien de chance de trouver tous ses sites vérolés ? Je trouve cela simplement dingue.
        "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
        https://www.graphiquedesign-bf.com/

        Commentaire


        • #19
          Re : Discussion au sujet de la version 3.6.4 stable

          En fait ce n'est pas ce site qui est responsable de la diffusion. On trouve des vidéos sur youtube qui donne le mode opératoire pour hacker le site en exploitant cette faille depuis plusieurs jours (voire mois pour certaines).
          fox.ra.it a trouvé l'origine de la faille.

          Le problème est la diffusion de l'information : ne rien communiquer, ou le faire entraine la même conséquence : les pirates savent comment hacker et s'en donneront à coeur joie.

          En décembre dernier, c'était un accord entre le site qui avait trouvé la faille et la PLT & JSST : on attends que vous créiez un patch (jusqu'à une certaine date) après on diffuse l'info de la vulnérabilité (l'information de vulnérabilité est un business)... c'est exactement comme pour les journaux/médias : quand on a un scoop, on le balance sinon un autre le fera avant.

          On a beau trouver ça pas top (je suis de cet avis aussi), c'est le jeu...
          cours de SVT - infos scientifiques : www.nicolas-ogier.fr
          pas de demandes d'aide par mp, elles seront systématiquement refusées !
          Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérer à l'AFUJ https://www.joomla.fr/association/adherer

          Commentaire


          • #20
            Re : Discussion au sujet de la version 3.6.4 stable

            Merci Opware et Daneel pour toutes ces explications mais aussi votre patience.
            J'ai bien enfoncé le clou tellement le fondement de ce raisonnement m'échappe.
            Grands mercis à tous deux.
            "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
            https://www.graphiquedesign-bf.com/

            Commentaire


            • #21
              Re : Discussion au sujet de la version 3.6.4 stable

              Je comprends ta réaction mais les scripts kiddies n'ont pas attendues la publication de cet article.

              À chaque correctif de sécurité de tous cms, il y a des attaques et les méthodes et exploits sont dispo sur plusieurs sites dont YouTube.

              Pour les webmasters, il y a des solutions pour partir en déplacement en toute quiétude. Ce sera peut être l'occasion d'en faire la liste et la promotion

              edit : merci nicolas (opware) pour le complément d'infos
              Dernière édition par daneel à 26/10/2016, 23h58
              Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

              Commentaire


              • #22
                Re : Discussion au sujet de la version 3.6.4 stable

                Mise à jour de 3 sites (de V3.6.2 vers V3.6.4) par installation automatique "transfert direct" :

                Le 1er, aucun souci,

                Le 2 ème, test sur un module, problème de cache. J'ai vidé le cache de firefox et du site -> retour à la normal.

                Le 3 ème, arrêt de l'installation juste à la fin de la sauvegarde Akeeba avec le message :
                "La dernière requête a été rejetée car elle contenait un identifiant de sécurité invalide. Veuillez actualiser la page et réessayer."
                J'avais déjà eu ça. En fait ça provient d'une version non à jour d'Akeeba mais le souci c'est que cette MAJ n'apparait jamais dans la liste des MAJ Joomla en attente.
                Il faudrait peut être qu'Akeeba corrige un peu ça.
                Il faut donc aller dans le panneau de config d'Akeeba pour se rendre compte de la présence d'une MAJ, la faire et ensuite l'installation de Joomla 3.6.4 s'est déroulé sans problème.
                Enfin presque car même problème que sur le 2ème site, accès normal aux modules uniquement après suppression des caches.

                Merci à tous ceux qui nous mettent à disposition ces MAJ afin de combler les failles de sécurité.
                Dernière édition par glenan à 26/10/2016, 22h42

                Commentaire


                • #23
                  Re : Discussion au sujet de la version 3.6.4 stable

                  Je pense qu'avertir de la faille est une chose, mais que sortir une version insuffisamment testée est pire encore !
                  Pour ma part, le premier site sur lequel j'ai fait la mise à jour est une catastrophe, malgré la purge répétée du cache..
                  j'ai plusieurs fonctionnalités qui ne fonctionnent plus ou très mal...
                  Finalement, je désinstalle et je réinstalle la version précédente.
                  J'ai perdu plus d'une heure avec ce bug alors qu'installer un site avec akeeba (après piratage) ne prend qu'un quart d'heure pour un site de taille moyenne !
                  Pour la petite histoire, lorsque je m'absente plusieurs jours, j'ai toujours sur moi deux clés USB avec mes codes et les sauvegardes de tous mes sites...
                  Ca m'est déjà arrivé de réinstaller un site pendant mes vacances à l'étranger
                  Mais, pour ma part, lorsqu'on exerce ce métier, il faut être conscient des contraintes.

                  Commentaire


                  • #24
                    Re : Discussion au sujet de la version 3.6.4 stable

                    Bonjour,

                    Joyeux utilisateur de l'authentification 2 étapes (via google authentificator), j'ai eu la joie de pouvoir la remettre avec la version 3.6.4.

                    Joyeux utilisateur d'Akeeba backup, j'ai tendance à vérifier mes sauvegardes: moralité à la restauration: Fatal error: Class 'FOFUtilsPhpfunc' not found in C:\UwAmp\www\conseil\libraries\fof\encrypt\aes.php on line 167 si vous laissez le plugin double authentification au moment de la sauvegarde.

                    Donc, pour l'instant, le problème signalé en 3.6.3 n'est pas totalement corrigé.

                    Pascal
                    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                    Commentaire


                    • #25
                      Re : Discussion au sujet de la version 3.6.4 stable

                      Sur l'erreur de restauration, je suis en train de me faire jeter sur GitHub: ce n'est pas un problème Joomla, c'est un problème akeeba.

                      Ok, la version fof a évolué entre la 3.5 et la 3.6. ok, on a planté la double authentification. Par contre, si vos sauvegardes sont inexploitables, ce n'est pas notre problème.....

                      Donc, pensez à bien désactiver le plugin de double authentification, car, malgré les conseils donnés sur le site akeeba qui concernaient la 3.6.3 https://www.akeebabackup.com/support...-line-154.html, je n'ai pas réussi une seule restauration avec le plugin activé.

                      Pascal

                      PS: une grande discussion sur la librairie fof et la double authentification : https://github.com/joomla/joomla-cms/issues/12458 . que du bonheur....
                      Dernière édition par pmleconte à 27/10/2016, 13h49
                      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                      Commentaire


                      • #26
                        Re : Discussion au sujet de la version 3.6.4 stable

                        Bonjour,

                        Je viens de tester en local la MAJ de 3.6.2 vers 3.6.4 tout s'est bien passé hormis l'apparition d'un message d'alerte disant "Alerte : Echec de l'actualisation du cache du fichier manifest : l'extension n'est pas installée actuellement" et sous ce message j'ai le message indiquant le succès de la mise à jour.
                        Ma question : A quoi correspond l'alerte ? Est-ce important ? Me conseillez vous malgré tout de faire la MAJ sur mon site en ligne ?
                        Merci d'avance pour vos lumières
                        Ve34

                        Commentaire


                        • #27
                          Re : Discussion au sujet de la version 3.6.4 stable

                          Mise à jour sur une dizaine de sites de 3.6.2 -> 3.6.4 sans soucis particulier hormis un module de bannières un peu ancien (responsivebanner / templateplazza) que j'ai du désactiver (correspondant à ceci...).
                          Vu l'historique de 2 assez gros sites (origine J1.6) je m'attendais à avoir l'erreur citée ici..., mais non...
                          Ils sont tous passé en prod.
                          Dernière édition par roland_d_alsace à 27/10/2016, 14h09
                          A tous les utilisateurs de Joomla du très Grand Est de la France et du Jura suisse
                          Rejoignez le Joomla Users Groupe Alsace...
                          roland_d_alsace va-t-il devenir roland_du_grand_est ?

                          Commentaire


                          • #28
                            Re : Discussion au sujet de la version 3.6.4 stable

                            Envoyé par daneel Voir le message
                            ....
                            Pour les webmasters, il y a des solutions pour partir en déplacement en toute quiétude. Ce sera peut être l'occasion d'en faire la liste et la promotion ...
                            Pour ma part, voici quelques une de mes dispositions.
                            1) j'ai mes scripts de sauvegarde DB sur chaque serveur (scripts basés sur mysqldump).
                            2) Mes serveurs se synchronisent 2 par 2, 2x par jour. Chaque site est donc prêt à redémarrer au pire à H-12 (il faut juste basculer les IP) A chaque nouveau site je le préconfigure aussi sur le serveur de sauvegarde (apache, mysql, ftp).
                            3) J'ai en local un serveur basé sur un vieux PC sous Debian avec plusieurs disques de 4To qui se synchronise chaque nuit et récupére les fichiers de sauvegardes et les historise (script basé sur rsync).

                            J'ai donc toujours en local, les 7 derniers jours de sauvegarde plus une sauvegarde du mois précédent et sur chacune de ces sauvegardes j'ai 60 sauvegardes de database (toutes les 12H).

                            Je monte régulièrement mes sauvegardes sur mes serveurs locaux.

                            Je me méfie des logiciel spécifiques (Ackeeba Backup) ou autres.

                            J'ai des fichiers de sauvegarde dans des format standard (.sql) que je peux remonter avec des outils standards.

                            J'ai déjà du remonter un serveur en déplacement avec une petite connexion en Edge, et quand un disque déconne, c'est agréable d'avoir un serveur synchronisé récemment pour repartir (en moins d'1 H c'était réglé).

                            Certes je n'ai que des dédiés, cela ouvre des possibilités que l'on a pas forcement en mutu.
                            Mais j'ai abandonné le mutualisé il y a + de 15ans car je me suis fait 'jeter' par mes hébergeurs (je prenais trop de ressources).
                            Dernière édition par roland_d_alsace à 27/10/2016, 14h44
                            A tous les utilisateurs de Joomla du très Grand Est de la France et du Jura suisse
                            Rejoignez le Joomla Users Groupe Alsace...
                            roland_d_alsace va-t-il devenir roland_du_grand_est ?

                            Commentaire


                            • #29
                              Re : Discussion au sujet de la version 3.6.4 stable

                              Sur l'erreur de restauration, je suis en train de me faire jeter sur GitHub: ce n'est pas un problème Joomla, c'est un problème akeeba.
                              C'est fait je me suis fais jeter
                              Closing as non core issue. Thanks! Closed #12591.
                              Nos amis américains ont oublié la discussion citée plus haut PS: https://github.com/joomla/joomla-cms/issues/12458 qui peut et doit être résumée à Double authentification inutile et, en plus, elle nous embête en ce moment....

                              Sauf erreur de ma part, fof est un module d'akeeba intégré dans Joomla pour, entre autre, la double authentification (https://www.akeebabackup.com/home/ne...f-and-f0f.html).

                              One is called FOF (F-oh-F) and it's the old version shipped with Joomla! itself and it's required for core Joomla! features such as post-installation messages and two factor authentication to work.
                              On arrive maintenant à une incompatibilité du fof Joomla qui est resté en version 2.5.5 alors que la version actuelle de fof est 3.0.15...

                              En résumé, si vous souhaitez utiliser akeeba backup, n'utilisez pas la double authentification.

                              Pascal
                              If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

                              Commentaire


                              • #30
                                Re : Discussion au sujet de la version 3.6.4 stable

                                Pascal, tu veux dire que la restauration via Akeeba ne fonctionnerait pas si le site archivé en JPA aurait la double identification activé ?
                                "Si vous n’êtes pas impliqués émotionnellement dans ce que vous créez, laissez tomber."
                                https://www.graphiquedesign-bf.com/

                                Commentaire

                                Annonce

                                Réduire
                                Aucune annonce pour le moment.

                                Partenaire de l'association

                                Réduire

                                Hébergeur Web PlanetHoster
                                Travaille ...
                                X