Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bonsoir,

pour information le site Sucuri vient de mettre en ligne le tuto pour exploiter la faille, bande de c***s

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bug constaté version 3.7.1 de jommla

Erreur
Type Mime illégal ou invalide dans la module "MEDIAS" si on veut faire un transfert de fichier - pour y palier il faut décocher "vérifier les types NIME"

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bonsoir,

Et alors ? Stéphane, tu m'as habitué à mieux venant de toi...

C'est tout facile de retrouver la faille en analysant les fichiers modifiés sur Joomla 3.7.1 par rapport à J3.7... A la portée de tous donc il n'y a pas plus de raison que d'expliquer que cette mise à jour doit être fait sans délai ! C'est évident !

On ne peut que respecter le travail de chercheur en vulnérabilité et de l'intérêt pour Joomla (Joomla n'est pas une entreprise qui peut financer à plusieurs milliers d'euros ceux qui découvrent les failles...). Après, c'est tout à l'honneur de Marc-Alexandre de revendiquer sa découverte juste après avoir laisser le temps à l'équipe de proposer un patch et une bonne communication. Ces chercheurs font exactement la même démarche pour les autres cms, os et autres...

Quand personne ne s’intéressa à colmater les failles de Joomla, on pourra s’inquiéter !

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bonjour Yann

Ne trouves-tu pas non souhaitable qu'une telle communication de la part de l'expert en sécurité se fasse à heure + 4 seulement après que le patchwork soit disponible? Moi oui. Quel est le pourcentage e personnes qui auront mis à jour leurs sites en si peu de temps ?

Il me semble que la société en question a été bien trop vantarde et a préféré jouer la carte du "on est les meilleurs" plutôt que celle de la sécurité.

Ils sont bons c'est sûr mais ils ne sont pas très dignes, c'est sûr également.

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Deux sites à jour dès la publication du patch hier vers 16h. RAS sur les deux sites

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bonjour

5 sites mis à jour, à priori ça va

Par contre je suis assez d'accord avec toi Stéphane, la communication me semble un poil rapide

Leur démarche générale est bonne quand même

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

C'est un point de vue qui est parfaitement compréhensible. D'un autre coté, je comprends aussi la nécessité de communiquer sur la paternité. On a plutôt tendance à leur couper l'herbe sous le pied via les sites de hack voir de tuto sur youtube pour de précédentes failles et surtout des actions assez simples. L'avis est partagé entre la viralité de l'exploit et la revendication. Je ne sais pas quel délai est "raisonnable" pour être digne à vos yeux. Mais diantre, ce n'est pas le premier ni le dernier à le faire ! Alors oui c'est un peu tôt mais respect quand même (pour le signalement à Joomla.org)...

Le plus important c'est de voir que d'autres problèmes sont survenus à la publication de la mise à jour notamment sur les urls...
Peut être la nécessité d'une version 3.7.2

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

Bonjour Yann

Respect ils méritent et respect ils ont. Détecter une faille et avertir le projet pour qu'un patch de sécurité soit déployé est méritoire.

Au moment de la publication du patch (14h00 UTC); une partie du globe n'était plus au travail ou dormait déjà. (+9h pour le Japon p.ex.). Je ne sais pas quand ils ont publié l'article, perso je l'ai vu 4 heures plus tard. Hormis les passionnés qui comme nous le savons ne dorment jamais, les professionnels, les employés de bureau, etc. n'étaient plus derrière leur ordinateur. Publier aussi vite un article qui précise assez fortement où est la faille et comment l'exploiter est, à mes yeux, médiocre. C'est juste pour la gloriole "Youhou nous avons trouvé, youhou, nous vous vendons une solution de protection, youhou ...", c'est juste commercial.

Ils auraient fait ce type de communication avec un délai de xxx jours après, le contexte aurait été bien différent et le but aurait été même pédagogique.

Ici, l'intérêt de publier aussi vite c'est ... ?

En dehors du monde des CMS, lorsque p.ex. un ingénieur Google trouve une faille chez Microsoft, combien de temps se passe-t-il entre la résolution et le forçage de l'installation et la communication ? Il y a des délais standards non ?

Pour le monde des CMS, est-ce qu'on a une idée du temps qu'il faut pour "à un nombre raisonnable de personnes" d'installer un patch de sécurité ? Imagineons qu'une statistique existe et qu'on peut présumer que 50% des utilisateurs réagissent dans les xxx (15?) jours. Alors ce serait bien de communiquer seulement après ce délai.

Cela n'enlève rien à leur crédit puisqu'il est mentionné dans l'article sur le découvreur de la faille.

Le but de mon intervention ici est juste de dire : oui, je trouve complétement débile de communiquer aussi vite; 4 heures seulement après la sortie d'un patch.

Bonne journée.

Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

J'ai bien compris le message

Le précédent avait publié pratiquement à peine quelques minutes après l'annonce de joomla.org et celui-là aura tenu 3h donc c'est peut être le prix à payer vu qu'il n'y a rien à gagner pour le chercheur sauf pour la notoriété.
Dans tous les cas, c'est une belle réactivité de joomla.org !

Pour les délais, je peux te citer le cas du smb... dont microsoft aura mis plusieurs mois avant que Laurent Gaffié se décide à publier le résultat de sa recherche pour les pousser à corriger ( indiqué en nov, zero day en fév donc plus de trois mois, patch en mars de cette année : ms annonçant publiquement un mois de retard sur la sécurité pour raisons techniques )
https://www.bleepingcom****r.com/new...minute-issue-/

Pour conclure, on est d'accord sur l'importance de la mise à jour mais ce qui fait mal, c'est de voir des problèmes qui suppose un correctif supplémentaire 3.x.2 ou 3.x.3... Bien que l'on peut automatiser via un cron (sauvegarde, update auto type https://www.joomlashowroom.com/produ...ate-for-joomla , contrôle des fichiers empreinte numérique, monitoring mail & push, restauration, etc...), ce serait bien que certains petits correctifs soit proposés automatiquement sans intervention humaine.

Pour ce qui des problèmes dans les urls dans Joomla 3.7.1, on en discute pas mal et ce sera certainement l'occasion d'une publications rapide de la 3.7.2 mais ce n'est pas encore annoncé pour l'instant. Par contre, beaucoup de correctifs dans la version 3.7.3...

Joomla 3.7.2 : https://github.com/joomla/joomla-cms/milestone/22
Joomla 3.7.3 : https://github.com/joomla/joomla-cms/milestone/23