Mot-clé - sécurité

Fil des billets - Fil des commentaires

Transition, réflexion

Ouvrir aux commentaires et remarques l’algorithme que je prévois pour une future version de Dotclear, a priori la 2.13, pour la vérification et la transition de la gestion des mots de passe vers le système plus robuste offert par les fonctions dédiées incluses à partir de la version 5.5 de PHP. Pour  […]

Lire la suite

Renforcer la sécurité du mot de passe de Dotclear

Depuis quelques années Dotclear utilise la méthode sha1 par défaut pour hasher les mots de passe. Depuis la 2.10 de Dotclear il est possible de définir un autre algorithme de hashage, parmi ceux disponibles en fonction de la version de PHP installée, pour peu que la longueur du hashage du mot de  […]

Lire la suite

Fournée du jour

7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be  […]

Lire la suite

Escalade

Écran de connexion sur un iPhone 6+

Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… » J’en ai parlé à plusieurs reprises ici, mais j’avoue que je  […]

Lire la suite

Faille de sécurité et faille de sécurité

Photo extraite du film de Georges Méliès "Le tonneau des Danaïdes" (1900) - public domain

Depuis quelques temps, plusieurs mois, voire plusieurs années, l’essentiel des failles de sécurité qu’on me rapporte au sujet de Dotclear commencent toutes par : Si vous avez accès à l’administration … Et si en plus vous avez les droits de … Et si vous faites telle chose … Alors il est possible de  […]

Lire la suite

Haut de page