Faille de sécurité mineure

Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ».

Alors oui, j’ai patché la-dite faille qui sera donc corrigée dans la prochaine 2.14.2, mais c’est un tonneau des Danaïdes ce truc, vu qu’on peut à peu près faire n’importe quoi de mauvais dans une installation Dotclear dès lors que vous avez la possibilité de vous connecter et les droits potentiels pour fiche le bordayle !

Donc on peut bien filtrer à l’envi tout ce qui passe, ça n’empêche que le problème principal est entre la chaise et le clavier : empêcher un malotru de s’inviter dans votre admin, en ne diffusant pas vos infos de connexion, et/ou en (s’)informant suffisamment sur les fichiers qu’on dépose dans la médiathèque pour les utiliser ensuite sont des moyens plus efficaces que tout le code que je pourrais mettre pour filtrer des trucs !

En particulier au sujet des extensions de fichier, vu qu’en fait on est libre de mettre un peu ce qu’on veut et s’il me vient l’envie de nommer mon virus javascript evil.jpg, rien ne m’en empêche, le tout est de trouver le moyen ensuite de le faire exécuter côté public !

Bref, l’info importante est que je vais publier une 2.14.2 dans les jours qui viennent ;-)

PS : Je vais commencer à jour avec ES6 pour la prochaine 2.15, ça a l’air rigolo ce qu’on peut faire avec et ça rend le code (un peu) plus lisible et robuste.

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13916

Haut de page