Encore une, du style : « Si vous avez le droit de vous connecter à l’admin de Dotclear et si vous avez le droit de déposer des fichiers, et si ce fichier est un fichier potentiellement critique (genre code javascript ou autre) et que si vous l’affichez ensuite côté public alors… ». Alors oui, j’ai […]
Creute ! Je suis en train de renouveler mes certificats chez StarSSL et qu’apprends-je ? Ils ne sont plus considérés comme sûr par les navigateurs. Donc mes nouveaux certificats sont Ok, par contre l’intermédiaire ne l’est plus. La barbe, parce que j’ai franchement pas que ça à faire moi ! Déjà que […]
Ouvrir aux commentaires et remarques l’algorithme que je prévois pour une future version de Dotclear, a priori la 2.13, pour la vérification et la transition de la gestion des mots de passe vers le système plus robuste offert par les fonctions dédiées incluses à partir de la version 5.5 de PHP. Pour […]
Depuis quelques années Dotclear utilise la méthode sha1 par défaut pour hasher les mots de passe. Depuis la 2.10 de Dotclear il est possible de définir un autre algorithme de hashage, parmi ceux disponibles en fonction de la version de PHP installée, pour peu que la longueur du hashage du mot de […]
7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be […]