Re : Discussion au sujet de la version 3.6.4 stable

Ce n'est pas tout à fait vrai, en fait lors de publication de mise à jour corrigeant un problème de sécurité, il y a une recrudescence de tentatives de hack. C'était déjà le cas avant mais aujourd'hui, on prends sérieusement en compte la communication et la transparence autour de ce phénomène.

Si une équipe comme sucuri vous indique avoir recensé plus de 16600 attaques par jour lors de la première annonce de ce genre, on est encore loin de la vérité !


Donc que l'on communique ou non, le problème sera toujours là.

Après vous avez le choix :
Dans tous les cas, je pense que le message est passé mais que les efforts sont encore à faire pour être compris de tous.

Yann

Re : Discussion au sujet de la version 3.6.4 stable

Mise à jour effectuée sur 2 sites avec succès.
Merci à toute l'équipe.

Bruno

Re : Discussion au sujet de la version 3.6.4 stable

Je comprends bien cela.
Mais la page http://www.fox.ra.it/technical-artic...erability.html indique clairement où se situe la vulnérabilité dans le code, c'est cela que je ne comprends pas. Pourquoi après même pas 24 heures de délai suite à la diffusion du patch, on trouve une page qui indique la faille dans le code ? Car il semble évident que dans ces conditions, les attaques vont fuser sur les sites non à jour, qui s'en étonnerait.

Et dans ce cas, un webmaster qui est par exemple en déplacement et qui ne rentre que dans une dizaine de jours a combien de chance de trouver tous ses sites vérolés ? Je trouve cela simplement dingue.

Re : Discussion au sujet de la version 3.6.4 stable

En fait ce n'est pas ce site qui est responsable de la diffusion. On trouve des vidéos sur youtube qui donne le mode opératoire pour hacker le site en exploitant cette faille depuis plusieurs jours (voire mois pour certaines).
fox.ra.it a trouvé l'origine de la faille.

Le problème est la diffusion de l'information : ne rien communiquer, ou le faire entraine la même conséquence : les pirates savent comment hacker et s'en donneront à coeur joie.

En décembre dernier, c'était un accord entre le site qui avait trouvé la faille et la PLT & JSST : on attends que vous créiez un patch (jusqu'à une certaine date) après on diffuse l'info de la vulnérabilité (l'information de vulnérabilité est un business)... c'est exactement comme pour les journaux/médias : quand on a un scoop, on le balance sinon un autre le fera avant.

On a beau trouver ça pas top (je suis de cet avis aussi), c'est le jeu...

Re : Discussion au sujet de la version 3.6.4 stable

Merci Opware et Daneel pour toutes ces explications mais aussi votre patience.
J'ai bien enfoncé le clou tellement le fondement de ce raisonnement m'échappe.
Grands mercis à tous deux.

Re : Discussion au sujet de la version 3.6.4 stable

Je comprends ta réaction mais les scripts kiddies n'ont pas attendues la publication de cet article.

À chaque correctif de sécurité de tous cms, il y a des attaques et les méthodes et exploits sont dispo sur plusieurs sites dont YouTube.

Pour les webmasters, il y a des solutions pour partir en déplacement en toute quiétude. Ce sera peut être l'occasion d'en faire la liste et la promotion

edit : merci nicolas (opware) pour le complément d'infos

Re : Discussion au sujet de la version 3.6.4 stable

Mise à jour de 3 sites (de V3.6.2 vers V3.6.4) par installation automatique "transfert direct" :

Le 1er, aucun souci,

Le 2 ème, test sur un module, problème de cache. J'ai vidé le cache de firefox et du site -> retour à la normal.

Le 3 ème, arrêt de l'installation juste à la fin de la sauvegarde Akeeba avec le message :
"La dernière requête a été rejetée car elle contenait un identifiant de sécurité invalide. Veuillez actualiser la page et réessayer."
J'avais déjà eu ça. En fait ça provient d'une version non à jour d'Akeeba mais le souci c'est que cette MAJ n'apparait jamais dans la liste des MAJ Joomla en attente.
Il faudrait peut être qu'Akeeba corrige un peu ça.
Il faut donc aller dans le panneau de config d'Akeeba pour se rendre compte de la présence d'une MAJ, la faire et ensuite l'installation de Joomla 3.6.4 s'est déroulé sans problème.
Enfin presque car même problème que sur le 2ème site, accès normal aux modules uniquement après suppression des caches.

Merci à tous ceux qui nous mettent à disposition ces MAJ afin de combler les failles de sécurité.

Re : Discussion au sujet de la version 3.6.4 stable

Je pense qu'avertir de la faille est une chose, mais que sortir une version insuffisamment testée est pire encore !
Pour ma part, le premier site sur lequel j'ai fait la mise à jour est une catastrophe, malgré la purge répétée du cache..
j'ai plusieurs fonctionnalités qui ne fonctionnent plus ou très mal...
Finalement, je désinstalle et je réinstalle la version précédente.
J'ai perdu plus d'une heure avec ce bug alors qu'installer un site avec akeeba (après piratage) ne prend qu'un quart d'heure pour un site de taille moyenne !
Pour la petite histoire, lorsque je m'absente plusieurs jours, j'ai toujours sur moi deux clés USB avec mes codes et les sauvegardes de tous mes sites...
Ca m'est déjà arrivé de réinstaller un site pendant mes vacances à l'étranger
Mais, pour ma part, lorsqu'on exerce ce métier, il faut être conscient des contraintes.

Re : Discussion au sujet de la version 3.6.4 stable

Bonjour,

Joyeux utilisateur de l'authentification 2 étapes (via google authentificator), j'ai eu la joie de pouvoir la remettre avec la version 3.6.4.

Joyeux utilisateur d'Akeeba backup, j'ai tendance à vérifier mes sauvegardes: moralité à la restauration: Fatal error: Class 'FOFUtilsPhpfunc' not found in C:\UwAmp\www\conseil\libraries\fof\encrypt\aes.php on line 167 si vous laissez le plugin double authentification au moment de la sauvegarde.

Donc, pour l'instant, le problème signalé en 3.6.3 n'est pas totalement corrigé.

Pascal

Re : Discussion au sujet de la version 3.6.4 stable

Sur l'erreur de restauration, je suis en train de me faire jeter sur GitHub: ce n'est pas un problème Joomla, c'est un problème akeeba.

Ok, la version fof a évolué entre la 3.5 et la 3.6. ok, on a planté la double authentification. Par contre, si vos sauvegardes sont inexploitables, ce n'est pas notre problème.....

Donc, pensez à bien désactiver le plugin de double authentification, car, malgré les conseils donnés sur le site akeeba qui concernaient la 3.6.3 https://www.akeebabackup.com/support...-line-154.html, je n'ai pas réussi une seule restauration avec le plugin activé.

Pascal

PS: une grande discussion sur la librairie fof et la double authentification : https://github.com/joomla/joomla-cms/issues/12458 . que du bonheur....

Re : Discussion au sujet de la version 3.6.4 stable

Bonjour,

Je viens de tester en local la MAJ de 3.6.2 vers 3.6.4 tout s'est bien passé hormis l'apparition d'un message d'alerte disant "Alerte : Echec de l'actualisation du cache du fichier manifest : l'extension n'est pas installée actuellement" et sous ce message j'ai le message indiquant le succès de la mise à jour.
Ma question : A quoi correspond l'alerte ? Est-ce important ? Me conseillez vous malgré tout de faire la MAJ sur mon site en ligne ?
Merci d'avance pour vos lumières
Ve34

Re : Discussion au sujet de la version 3.6.4 stable

Mise à jour sur une dizaine de sites de 3.6.2 -> 3.6.4 sans soucis particulier hormis un module de bannières un peu ancien (responsivebanner / templateplazza) que j'ai du désactiver (correspondant à ceci...).
Vu l'historique de 2 assez gros sites (origine J1.6) je m'attendais à avoir l'erreur citée ici..., mais non...
Ils sont tous passé en prod.

Re : Discussion au sujet de la version 3.6.4 stable

Pour ma part, voici quelques une de mes dispositions.
1) j'ai mes scripts de sauvegarde DB sur chaque serveur (scripts basés sur mysqldump).
2) Mes serveurs se synchronisent 2 par 2, 2x par jour. Chaque site est donc prêt à redémarrer au pire à H-12 (il faut juste basculer les IP) A chaque nouveau site je le préconfigure aussi sur le serveur de sauvegarde (apache, mysql, ftp).
3) J'ai en local un serveur basé sur un vieux PC sous Debian avec plusieurs disques de 4To qui se synchronise chaque nuit et récupére les fichiers de sauvegardes et les historise (script basé sur rsync).

J'ai donc toujours en local, les 7 derniers jours de sauvegarde plus une sauvegarde du mois précédent et sur chacune de ces sauvegardes j'ai 60 sauvegardes de database (toutes les 12H).

Je monte régulièrement mes sauvegardes sur mes serveurs locaux.

Je me méfie des logiciel spécifiques (Ackeeba Backup) ou autres.

J'ai des fichiers de sauvegarde dans des format standard (.sql) que je peux remonter avec des outils standards.

J'ai déjà du remonter un serveur en déplacement avec une petite connexion en Edge, et quand un disque déconne, c'est agréable d'avoir un serveur synchronisé récemment pour repartir (en moins d'1 H c'était réglé).

Certes je n'ai que des dédiés, cela ouvre des possibilités que l'on a pas forcement en mutu.
Mais j'ai abandonné le mutualisé il y a + de 15ans car je me suis fait 'jeter' par mes hébergeurs (je prenais trop de ressources).

Re : Discussion au sujet de la version 3.6.4 stable

C'est fait je me suis fais jeter Nos amis américains ont oublié la discussion citée plus haut PS: https://github.com/joomla/joomla-cms/issues/12458 qui peut et doit être résumée à Double authentification inutile et, en plus, elle nous embête en ce moment....

Sauf erreur de ma part, fof est un module d'akeeba intégré dans Joomla pour, entre autre, la double authentification (https://www.akeebabackup.com/home/ne...f-and-f0f.html).

On arrive maintenant à une incompatibilité du fof Joomla qui est resté en version 2.5.5 alors que la version actuelle de fof est 3.0.15...

En résumé, si vous souhaitez utiliser akeeba backup, n'utilisez pas la double authentification.

Pascal

Re : Discussion au sujet de la version 3.6.4 stable

Pascal, tu veux dire que la restauration via Akeeba ne fonctionnerait pas si le site archivé en JPA aurait la double identification activé ?