Creute ! Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi ! Déjà que […]
Mot-clé - sécurité
Transition, réflexion
Ouvrir aux commentaires et remarques l’algorithme que je prévois pour une future version de Dotclear, a priori la 2.13, pour la vérification et la transition de la gestion des mots de passe vers le système plus robuste offert par les fonctions dédiées incluses à partir de la version 5.5 de PHP. Pour […]
Renforcer la sécurité du mot de passe de Dotclear
Depuis quelques années Dotclear utilise la méthode sha1 par défaut pour hasher les mots de passe. Depuis la 2.10 de Dotclear il est possible de définir un autre algorithme de hashage, parmi ceux disponibles en fonction de la version de PHP installée, pour peu que la longueur du hashage du mot de […]
Fournée du jour
7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be […]
Escalade
Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… » J’en ai parlé à plusieurs reprises ici, mais j’avoue que je […]