7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be […]
Mot-clé - sécurité
Escalade
Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… » J’en ai parlé à plusieurs reprises ici, mais j’avoue que je […]
Faille de sécurité et faille de sécurité
Depuis quelques temps, plusieurs mois, voire plusieurs années, l’essentiel des failles de sécurité qu’on me rapporte au sujet de Dotclear commencent toutes par : Si vous avez accès à l’administration … Et si en plus vous avez les droits de … Et si vous faites telle chose … Alors il est possible de […]
StartSSL API opening
Je vous avais parlé il y a peu de la mise en place des certificats pour mes blogs. Restait le problème du renouvellement, tous les ans, des certificats obtenus chez StartSSL. Eh bien j’ai appris aujourd’hui qu’ils avaient mis en place une API pour automatiser le renouvellement automagique des […]
SSL Report : A+
Avec quelques bons conseils et moult râleries (vous me connaissez), j’ai finalement mon admin et mes blogs en HTTPS, avec de surcroit un niveau A+ aux tests Qualys SSL Labs \o/ Pour ma propre mémoire, voilà la procédure utilisée. Certificat de domaine Récupération d’un certificat chez StartSSL pour […]