The Wayback Machine - https://web.archive.org/all/20061116044802/http://www.dotclear.net/log/tag/vuln%C3%A9rabilit%C3%A9

DotClear

Mot clé - vulnérabilité

mercredi 7 juin 2006

plugin de mise-à-jour vers Dotclear 1.2.5

Par xave le mercredi 7 juin 2006, 12:04

Bonjour m'sieurs-dames !

Je ne m'en étais pas trop inquiété, la mise-à-jour me semblant facile, mais il semblerait qu'il y ait une demande pour un plugin de mise-à-jour comme la dernière fois, alors je vous ai bricolé ça vite fait. La prochaine fois j'essaierai de prévoir (ici, ça a été un peu précipité, vu qu'un cracker à la petite semaine n'a rien trouvé de meiux que de publier une faille de sécurité sans nous prévenir.)

Alors voici le plugin, il n'a pas été plus testé que ça (chez moi, ça marche :) ) mais devrait fonctionner comme la fois précédente. Notez qu'il demande une version 1.2.4 pour effectuer la mise-à-jour, mais qu'il appliquera également le patch de sécurité (et seulement celui-ci) sur des versions plus anciennes.

33 commentaires un rétrolien

lundi 5 juin 2006

Important : faille de sécurité potentielle dans DotClear 1.2.x

Par Pep le lundi 5 juin 2006, 04:12

Une faille de sécurité concernant DotClear 1.2.x (toutes versions) a été annoncée.
Elle n'impacterait que les installations sur des hébergements en PHP5 (et selon les configurations).

En attendant que ce fait soit sérieusement vérifié, je vous invite à suivre la recommandation suivante :

Dans le répertoire layout/ de votre installation dotclear, créez un fichier .htaccess contenant :

Deny from all

Je pense que cela devrait être suffisant.

PS : Cette annonce a également été publiée sur le forum de DotClear.