Mot-clé - sécurité

Fil des billets - Fil des commentaires

Fournée du jour

7h59 : A File Upload issue was discovered in Dotclear through 2.11.2. To exploit this vulnerability, someone must have a media-privilege account. In admin/media.php, the attacker can create a folder named “*.asp” or “*.asa”. In IIS 5.x/6.0, every file in the folder named “*.asp” or “*.asa” will be  […]

Lire la suite

Escalade

Écran de connexion sur un iPhone 6+

Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… » J’en ai parlé à plusieurs reprises ici, mais j’avoue que je  […]

Lire la suite

Faille de sécurité et faille de sécurité

Photo extraite du film de Georges Méliès "Le tonneau des Danaïdes" (1900) - public domain

Depuis quelques temps, plusieurs mois, voire plusieurs années, l’essentiel des failles de sécurité qu’on me rapporte au sujet de Dotclear commencent toutes par : Si vous avez accès à l’administration … Et si en plus vous avez les droits de … Et si vous faites telle chose … Alors il est possible de  […]

Lire la suite

SSL Report : A+

Qualys SSL Test sur open-time.net

Avec quelques bons conseils et moult râleries (vous me connaissez), j’ai finalement mon admin et mes blogs en HTTPS, avec de surcroit un niveau A+ aux tests Qualys SSL Labs \o/ Pour ma propre mémoire, voilà la procédure utilisée. Certificat de domaine Récupération d’un certificat chez StartSSL pour  […]

Lire la suite

Haut de page