Affichage des résultats 1 à 10 sur 10
  1. #1
    prof-dormeur-atchoum



    Avatar de opware2000
    Date d'inscription
    octobre 2005
    Localisation
    coins moins paumés dans l'Yonne
    Messages
    10 055
    Remerciements
    266
    Remercié 383 fois
    dans 232 messages

    Par défaut Joomla 3.7.1 est disponible - mise à jour de sécurité

    Discussion au sujet de l'annonce : Joomla 3.7.1 est disponible - mise à jour de sécurité

  2. #2
    Membre
    Avatar de lavsteph
    Date d'inscription
    février 2015
    Localisation
    France
    Messages
    64
    Remerciements
    53
    Remercié 36 fois
    dans 27 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Bonsoir,

    pour information le site Sucuri vient de mettre en ligne le tuto pour exploiter la faille, bande de c***s
    Webmaster du site Aide-joomla.frhttps://www.aide-joomla.fr
    Community manager français des traductions de Joomlapolis http://www.joomlapolis.com et Kunena http://www.kunena.org
    Pas de support en MP sans y être invité.Merci

  3. Les membres suivants ont remercié lavsteph pour ce message :

    opware2000 (17/05/2017)

  4. #3
    Jeune membre Avatar de spiderco
    Date d'inscription
    mai 2008
    Messages
    26
    Remerciements
    1
    Remercié 1 fois dans 1 message

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Bug constaté version 3.7.1 de jommla

    Erreur
    Type Mime illégal ou invalide dans la module "MEDIAS" si on veut faire un transfert de fichier - pour y palier il faut décocher "vérifier les types NIME"

  5. #4
    Joomla Addict!

    Avatar de daneel
    Date d'inscription
    septembre 2006
    Localisation
    Lille
    Messages
    2 600
    Remerciements
    165
    Remercié 553 fois
    dans 363 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Citation Envoyé par lavsteph Voir le message
    Bonsoir,
    bande de c***s
    Bonsoir,

    Et alors ? Stéphane, tu m'as habitué à mieux venant de toi...

    C'est tout facile de retrouver la faille en analysant les fichiers modifiés sur Joomla 3.7.1 par rapport à J3.7... A la portée de tous donc il n'y a pas plus de raison que d'expliquer que cette mise à jour doit être fait sans délai ! C'est évident !

    On ne peut que respecter le travail de chercheur en vulnérabilité et de l'intérêt pour Joomla (Joomla n'est pas une entreprise qui peut financer à plusieurs milliers d'euros ceux qui découvrent les failles...). Après, c'est tout à l'honneur de Marc-Alexandre de revendiquer sa découverte juste après avoir laisser le temps à l'équipe de proposer un patch et une bonne communication. Ces chercheurs font exactement la même démarche pour les autres cms, os et autres...

    Quand personne ne s’intéressa à colmater les failles de Joomla, on pourra s’inquiéter !
    Communauté francophone de Joomla : AFUJ.FR / JOOMLA.FR

  6. #5
    Développeur d'aeSecure


    Avatar de cavo789
    Date d'inscription
    avril 2009
    Localisation
    Racour, BE
    Messages
    16 757
    Remerciements
    636
    Remercié 1 734 fois
    dans 1 654 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Bonjour Yann

    Ne trouves-tu pas non souhaitable qu'une telle communication de la part de l'expert en sécurité se fasse à heure + 4 seulement après que le patchwork soit disponible? Moi oui. Quel est le pourcentage e personnes qui auront mis à jour leurs sites en si peu de temps ?

    Il me semble que la société en question a été bien trop vantarde et a préféré jouer la carte du "on est les meilleurs" plutôt que celle de la sécurité.

    Ils sont bons c'est sûr mais ils ne sont pas très dignes, c'est sûr également.
    --------------------------------------------------------------------------------------------------------
    Christophe (cavo789)
    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
    1. aeSecure QuickScan - Outil de scan gratuit de votre site :
    https://www.aesecure.com/fr/blog/aes...quickscan.html
    2. Conseils pour le nettoyer le sécuriser : https://www.aesecure.com/fr/blog/site-hacke.html

  7. #6
    Membre
    Date d'inscription
    juillet 2007
    Localisation
    Douai
    Messages
    89
    Remerciements
    10
    Remercié 0 fois
    dans 0 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Deux sites à jour dès la publication du patch hier vers 16h. RAS sur les deux sites

  8. #7
    Membre
    Date d'inscription
    septembre 2012
    Localisation
    Castres, Tarn
    Messages
    50
    Remerciements
    1
    Remercié 1 fois dans 1 message

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Bonjour

    5 sites mis à jour, à priori ça va

    Par contre je suis assez d'accord avec toi Stéphane, la communication me semble un poil rapide

    Leur démarche générale est bonne quand même
    Kev'

  9. #8
    Joomla Addict!

    Avatar de daneel
    Date d'inscription
    septembre 2006
    Localisation
    Lille
    Messages
    2 600
    Remerciements
    165
    Remercié 553 fois
    dans 363 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Citation Envoyé par cavo789 Voir le message
    Bonjour Yann

    Ne trouves-tu pas non souhaitable qu'une telle communication de la part de l'expert en sécurité se fasse à heure + 4 seulement après que le patchwork soit disponible? Moi oui. Quel est le pourcentage e personnes qui auront mis à jour leurs sites en si peu de temps ?

    Il me semble que la société en question a été bien trop vantarde et a préféré jouer la carte du "on est les meilleurs" plutôt que celle de la sécurité.

    Ils sont bons c'est sûr mais ils ne sont pas très dignes, c'est sûr également.
    C'est un point de vue qui est parfaitement compréhensible. D'un autre coté, je comprends aussi la nécessité de communiquer sur la paternité. On a plutôt tendance à leur couper l'herbe sous le pied via les sites de hack voir de tuto sur youtube pour de précédentes failles et surtout des actions assez simples. L'avis est partagé entre la viralité de l'exploit et la revendication. Je ne sais pas quel délai est "raisonnable" pour être digne à vos yeux. Mais diantre, ce n'est pas le premier ni le dernier à le faire ! Alors oui c'est un peu tôt mais respect quand même (pour le signalement à Joomla.org)...

    Le plus important c'est de voir que d'autres problèmes sont survenus à la publication de la mise à jour notamment sur les urls...
    Peut être la nécessité d'une version 3.7.2
    Communauté francophone de Joomla : AFUJ.FR / JOOMLA.FR

  10. #9
    Développeur d'aeSecure


    Avatar de cavo789
    Date d'inscription
    avril 2009
    Localisation
    Racour, BE
    Messages
    16 757
    Remerciements
    636
    Remercié 1 734 fois
    dans 1 654 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Bonjour Yann

    Citation Envoyé par daneel Voir le message
    Alors oui c'est un peu tôt mais respect quand même (pour le signalement à Joomla.org)...
    Respect ils méritent et respect ils ont. Détecter une faille et avertir le projet pour qu'un patch de sécurité soit déployé est méritoire.

    Au moment de la publication du patch (14h00 UTC); une partie du globe n'était plus au travail ou dormait déjà. (+9h pour le Japon p.ex.). Je ne sais pas quand ils ont publié l'article, perso je l'ai vu 4 heures plus tard. Hormis les passionnés qui comme nous le savons ne dorment jamais, les professionnels, les employés de bureau, etc. n'étaient plus derrière leur ordinateur. Publier aussi vite un article qui précise assez fortement où est la faille et comment l'exploiter est, à mes yeux, médiocre. C'est juste pour la gloriole "Youhou nous avons trouvé, youhou, nous vous vendons une solution de protection, youhou ...", c'est juste commercial.

    Ils auraient fait ce type de communication avec un délai de xxx jours après, le contexte aurait été bien différent et le but aurait été même pédagogique.

    Ici, l'intérêt de publier aussi vite c'est ... ?

    En dehors du monde des CMS, lorsque p.ex. un ingénieur Google trouve une faille chez Microsoft, combien de temps se passe-t-il entre la résolution et le forçage de l'installation et la communication ? Il y a des délais standards non ?

    Pour le monde des CMS, est-ce qu'on a une idée du temps qu'il faut pour "à un nombre raisonnable de personnes" d'installer un patch de sécurité ? Imagineons qu'une statistique existe et qu'on peut présumer que 50% des utilisateurs réagissent dans les xxx (15?) jours. Alors ce serait bien de communiquer seulement après ce délai.

    Cela n'enlève rien à leur crédit puisqu'il est mentionné dans l'article sur le découvreur de la faille.

    Le but de mon intervention ici est juste de dire : oui, je trouve complétement débile de communiquer aussi vite; 4 heures seulement après la sortie d'un patch.

    Bonne journée.
    --------------------------------------------------------------------------------------------------------
    Christophe (cavo789)
    Développeur d'aeSecure; protection, optimisation et nettoyage (après hack) de sites web Apache https://www.aesecure.com/fr
    1. aeSecure QuickScan - Outil de scan gratuit de votre site :
    https://www.aesecure.com/fr/blog/aes...quickscan.html
    2. Conseils pour le nettoyer le sécuriser : https://www.aesecure.com/fr/blog/site-hacke.html

  11. #10
    Joomla Addict!

    Avatar de daneel
    Date d'inscription
    septembre 2006
    Localisation
    Lille
    Messages
    2 600
    Remerciements
    165
    Remercié 553 fois
    dans 363 messages

    Par défaut Re : Joomla 3.7.1 est disponible - mise à jour de sécurité

    Citation Envoyé par cavo789 Voir le message
    Le but de mon intervention ici est juste de dire : oui, je trouve complétement débile de communiquer aussi vite; 4 heures seulement après la sortie d'un patch.
    J'ai bien compris le message

    Le précédent avait publié pratiquement à peine quelques minutes après l'annonce de joomla.org et celui-là aura tenu 3h donc c'est peut être le prix à payer vu qu'il n'y a rien à gagner pour le chercheur sauf pour la notoriété.
    Dans tous les cas, c'est une belle réactivité de joomla.org !

    Pour les délais, je peux te citer le cas du smb... dont microsoft aura mis plusieurs mois avant que Laurent Gaffié se décide à publier le résultat de sa recherche pour les pousser à corriger ( indiqué en nov, zero day en fév donc plus de trois mois, patch en mars de cette année : ms annonçant publiquement un mois de retard sur la sécurité pour raisons techniques )
    https://www.bleepingcomputer.com/new...minute-issue-/

    Pour conclure, on est d'accord sur l'importance de la mise à jour mais ce qui fait mal, c'est de voir des problèmes qui suppose un correctif supplémentaire 3.x.2 ou 3.x.3... Bien que l'on peut automatiser via un cron (sauvegarde, update auto type https://www.joomlashowroom.com/produ...ate-for-joomla , contrôle des fichiers empreinte numérique, monitoring mail & push, restauration, etc...), ce serait bien que certains petits correctifs soit proposés automatiquement sans intervention humaine.

    Pour ce qui des problèmes dans les urls dans Joomla 3.7.1, on en discute pas mal et ce sera certainement l'occasion d'une publications rapide de la 3.7.2 mais ce n'est pas encore annoncé pour l'instant. Par contre, beaucoup de correctifs dans la version 3.7.3...

    Joomla 3.7.2 : https://github.com/joomla/joomla-cms/milestone/22
    Joomla 3.7.3 : https://github.com/joomla/joomla-cms/milestone/23
    Communauté francophone de Joomla : AFUJ.FR / JOOMLA.FR

Discussions similaires

  1. Joomla 3.4.6 est disponible -- mise à jour critique
    Par opware2000 dans le forum Discussions au sujet des annonces
    Réponses: 22
    Dernier message: 28/12/2015, 12h29
  2. Joomla 3.4.5 est disponible ! Mise à jour de sécurité critique !
    Par opware2000 dans le forum Discussions au sujet des annonces
    Réponses: 30
    Dernier message: 30/10/2015, 08h25
  3. Joomla 3.4.5 est disponible ! Mise à jour de sécurité critique !
    Par opware2000 dans le forum Annonces Joomla.org
    Réponses: 0
    Dernier message: 22/10/2015, 18h26

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •