Le module visiteurs 2 (stats) n'a-t-il pas des failles de sécurité ? - Administration - Forum - ixprim-cms.org - Système de Gestion de contenu

Vous n'êtes pas connecté

Par respect de la netiquette, tous les contributeurs s'engagent à ne tenir ni propos insultants ni propos infamants envers un tiers. Merci d'avance à tous et ... bonne pêche aux infos - (Les numéros IP sont conservés.)

Accueil du Forum » iXprim FAQS » FAQ iXprim - French » Administration

» Sujet: Le module visiteurs 2 (stats) n'a-t-il pas des failles de sécurité ?

Auteur:

Message:

trollix

Core Developer

stars

Messages: 2732
Inscrit(e) le: 2003/1/14
Statut: Déconnecté(e)

Posté le 2003/11/17 à 21:42

Cette information vient du réseau Xoops. J'ai d'abord cherché si ils avaient communiqué. Oui, mais pour les détails: Rien. Nada. Xoops-fr a repris bêtement sans essayer de comprendre et tout les xoopsiens ont relayé l'info: visiteurs a un trou de sécurité et il faut le désinstaller.

J'ai regardé le code et j'ai trouvé 2 failles:

- La première est due au fait que le script faisait des include sans vérifier si c'était en interne ou en externe (il était possible d'appeller directement les scripts included et d'y passer des valeurs - pas terrible). J'ai rajouté des define et des conditions pour éviter ça...

- Ensuite, vous avez remarqué que le système de modules de ixprim utilisait le même mécanisme que postnuke et phpnuke. Il utilise un redirecteur (ixm.php) au lieu de faire comme xoops (appel direct du script index.php dans le répertoire même du module). C'est une des caractéristique d'ixprim et ce qui le différencie complètement de xoops.
Vous avez même pu constater que dès que c'est possible, il y avait un .htacces dans le répertoir main interdisant une lecture directe des scripts. La sécurité est nettement plus importante puisqu'on n'a pas accès direct aux fichiers "main" du module.

Ces deux élément me permettent de penser que le module est normalement "secure", au même titre que les autres. Mais bon, on n'est jamais à l'abris d'un problème. Il ne faut jamais dire "JAMAIS". Donc je dis "presque"...

Voilà. Si quelqu'un remarque quelque chose d'anormal dans le cose (c'est aussi çà le principe de l'Open Source) on fera tout pour le corriger le plus vite possible et prévenir du danger précisément.

[Edité le 17/11/2003 par trollix]

HQCH - Hope Que ça Helpe
Celui qui vise à la perfection sera au-dessus de la médiocrité, mais celui qui vise à la médiocrité tombera plus bas encore. "Proverbe chinois"

Chercher tous les messages de cet utilisateur

aour

Débutant

Messages: 92
Inscrit(e) le: 2003/7/31
Statut: Déconnecté(e)

Posté le 2003/11/18 à 01:49

Bonsoir,

Pour ceux que la sécurité intéresse vous pouvez vous rendre sur http://www.phpsecure.info

Beaucoup de failles de sécurité sur de nombreux projets sont listées avec très souvent un patch.

Je n'ai jamais vu le script visiteurs dans leur actus.

Aour

Maurice

Béta-testeur

stars

Messages: 986
Inscrit(e) le: 2003/11/1
Statut: Déconnecté(e)

Posté le 2003/11/18 à 07:14

Regarde cela Aour, j'ai des frisson dans le dos.

http://www.phpsecure.info

Vas t'il falloir mettre des md5 sur les téléchargement maintenant. Et puis que dire des scpit, module ou autre fichier en PHP que l'ont trouve partout sur le net, sont t'il sécuritaire. Qui se trouve vraiment en arriere. J'ai mal au coeur.

trollix

Core Developer

stars

Messages: 2732
Inscrit(e) le: 2003/1/14
Statut: Déconnecté(e)

Posté le 2003/11/18 à 09:17

Il est bien clair, très clair même qu'installer des modules d'origine douteuse peut compromettre dangeureusement un site.
Exemple: Quelqu'un propose un module de commerce, par exemple, ou de rencontres, ou de ce que vous voulez ...
Qui empêche l'auteur de faire lire à son module les Passwords du site, de la base de donnée... : personne
Pour éviter ça, il faut être capable de lire le php, de retrouver dans le code les endroits ou une telle chose peut avoir lieu et la corriger.
Même chose dans le cas de la faille mambo. Il faut chercher si quelque part dans le code, l'auteur n'a pas mis un commande mail, fsocket, foepn ... sur une adresse internet ou une ip étrangère.
Alors, soit vous faites cela soi-même, soit vous faites confiance à l'auteur du module.
Si celui-ci est indélicat, celà se saura vite il sera vite grillé.
En ce qui concerne ixprim, il n'est pas inenvisageable de "certifier" des modules. C'est à dire de proposer des modules dits "officiels", et "certifiés". Celà ne concernera pas le fonctionnement du module lui-même, mais le fait qu'il ne contient pas de code malicieux.
Je dis celà pour les personnes qui ne causent pas PHP. Pour les autres, ils devront faire leurs vérifications seuls.

HQCH - Hope Que ça Helpe
Celui qui vise à la perfection sera au-dessus de la
médiocrité, mais celui qui vise à la
médiocrité tombera plus bas encore. "Proverbe chinois"

Tavnos

Béta-testeur

stars

Messages: 1039
Inscrit(e) le: 2003/9/13
Statut: Déconnecté(e)

Posté le 2003/11/18 à 18:49

Donc a priori c'était le module xoops visiteurs qui était fait a l'arrache .... Enfin je pense que personne ( ou presque ) ne vérifie entierement le code d'un module avant de l'installer sur son site.... Donc il faudrait mieux certifier !

L'autre probleme est que certifier veut dire que l'on se porte responsable s'il y a un probleme donc bon, a vous de voir !