Sortie de Joomla 1.5.6 SECURITE

[mickyserv]

Concernant PHP Maximus CMS : quand je vois leur page d'accueil truffée d'Ajax (liens en JavaScript), d'URLs contenant un ou plusieurs underscores, le code HTML de la page d'accueil, je me dis que ce CMS doit être un cauchemar pour tous les référenceurs...

La page d'accueil est un délire du webmaster, rien a voir avec le code de Maximus

[SpeedAirMan]

... et le webmaster du site de PHP Maximus CMS ne fait pas parti de l'équipe de développement du CMS ? ça fait peur quand même.

[mickyserv]

... et le webmaster du site de PHP Maximus CMS ne fait pas parti de l'équipe de développement du CMS ? ça fait peur quand même.

Oui il fait partie des développeur, mais ca n'empeche pas de tester des choses sans les optimiser, ni les sécuriser, d'ailleurs si tu veux te casser les dents a essayer de hacker le site, tu peux essayer....

Un site fait avec la dernière version de Maximus 2008 (cette version n'est pas encore libérée, sauf aux testeurs) :
http://www.gymaweb.com/

C'est comme les autres CMS, on fait ce que l'on veut en terme de template, donc chacun peut personnaliser l'aspect du site, sans pour autant respecter le w3c ou autre.

Encore une fois ce CMS en terme de sécurité, de kernel et même de référencement (url rewritting, création d'un sitemap automatique, la version installé avant la personnalisation est presque w3c sur tous les modules, etc....) essaye d'être optimisé au maximum en suivant les évolutions du référencement.

Donc encore des choses sont a critiquer (d'ailleurs les développeurs sont les premiers a le faire, et a rectifier le tir), mais c'est un CMS qui marche bien, ce n'est que mon avis.

[Ankyo-SG]

J’ai lu sur un site de l’actualité informatique que deux espaces ministériels français basés sur la version 1.5 de Joomla se sont fait pirater. Cet exploit a été baptisé "Joomla 1.5.x Remote Admin Password Change".

[fra_arf]

Roh, je me suis toujours demandé comment joomla arrive en tête de liste des cms.
Ce n'est ni pour l'optimisation, ni pour la sécurité...

Pourtant y'a une communauté assez importante derrière...
Après entre avoir une faille de sécurité toute nouvelle, qui vient juste de sortir, mais alors celle là, elle est bien commique quand même

[emilia123]

bonsoir à tous,

je partage l'avis de YoYos.
Je ne critique pas l'utilisation du CMS Joomla, mais ses problèmes de sécurité.

le site milw0rm est une bonne référence pour donner un indice sur la qualité de la sécurisation.
http://www.milw0rm.com/search.php?dong= ... mit=Submit
il a une liste ENORME de faille de sécurité sortie en rien que les 3 derniers mois, pire que les mises à jour de windows

De même, sans comparaison de fonctionnalité ou autre :
http://www.milw0rm.com/search.php?dong= ... mit=Submit (1 seule réponse)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (il y a eu des réponses il y a quelques temps)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (ils ont eu une mauvaise période, mais seulement 1 réponse pour les 3 derniers mois)

Bonne soirée à tous

EM.

[Alden]

Je rebondis sur le sujet car j'envisageais d'installer Joomla, du coup je m'interroge.

Selon vous quel serait le meilleur cms ?
Je veux dire par là que ce soit niveau sécurité, optimisation référencement ou possibilité d'évolution/modification.
Je sais bien que ça dépend également des besoins, les miens étant assez général et sans originalité à savoir : news, articles, téléchargement, annonces avec administration annonceurs, annuaire avec administration, forum (interne ou autre mais intégrable)

Merci pour vos réponses.

[loran750]

Bah, ça reste un très bon CMS, très actif, comme les 3 ou 4 qui trustent le marché actuellement (je cite typo3light, modx, joomla, typo3, peut être drupal)...

... du moment que tu le mettes à jour à chaque fois qu'il y a nue mise à jour de sécurité. Et que tu fasses attention quand tu prends une extension (3rd party extention) : qu'il soit à jour, sécurisé, éprouvé.

Voilà

[pouloupoupo]

bonsoir à tous,

je partage l'avis de YoYos.
Je ne critique pas l'utilisation du CMS Joomla, mais ses problèmes de sécurité.

le site milw0rm est une bonne référence pour donner un indice sur la qualité de la sécurisation.
http://www.milw0rm.com/search.php?dong= ... mit=Submit
il a une liste ENORME de faille de sécurité sortie en rien que les 3 derniers mois, pire que les mises à jour de windows

De même, sans comparaison de fonctionnalité ou autre :
http://www.milw0rm.com/search.php?dong= ... mit=Submit (1 seule réponse)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (il y a eu des réponses il y a quelques temps)
http://www.milw0rm.com/search.php?dong= ... mit=Submit (ils ont eu une mauvaise période, mais seulement 1 réponse pour les 3 derniers mois)

Bonne soirée à tous

EM.

C'est vrai que joomla fait beaucoup parlé de lui avec ses failles mais deux petites remarques très importantes!

Ton indice sur la qualité de sécurisation n'est pas du tout fiable et j'ose dire complétement faux car :
-il dépend de la notoriété du cms( on compare ce qui n'est pas comparable)
-qui te dis que toutes les failles des autres cms ont été publiées?
- sur la page de recherche de milworm on ne voit pratiquement que des failles pour les composants!!!


Deuxièment j'ai trouvé ça sur http://linuxfr.org/~kursus_hc/27042.html

Posté par skud () le 14/08/2008 à 08:13. (lien). Évalué à 7.

J'ai regardé le code de la faille, ça n'a rien à voir avec de l'échappement. En mettant # à la place de ' ça marche aussi, et en laissant une chaîne vide ça marche également (à condition de désactiver javascript dans le navigateur).

Les requêtes SQL sont correctement échappées dans Joomla et les saisies de formulaires sont vérifiés.
Le problème est que le fameux code qui être saisi est normalement composé que de lettres et de chiffres. Joomla nettoie ce code en supprimant tout ce qui n'est pas lettre ou chiffre puis effectue un échappement.

Le déroulé de la faille est le suivant:
o saisie par exemple du token: ###{{}{}
o nettoyage par Joomla: le token devient une chaîne vide
o échappement par Joomla de la chaîne vide
o Le code SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token) devient SELECT id FROM jos_users WHERE block = 0 AND activation = ''
o La colonne activation de la table SQL est vide pour un utilisateur n'ayant pas demandé la réinitialisation de son mot de passe, d'où le bug et son code de correction.

Donc oui, la faille aurait du être évitée, mais ce n'est pas non plus aussi trivial que ça.

Je n'ai pas vérifié mais si c'est exact il y a des membres ici ont la gachette facile et qui ne se gênent pas pour tirer des concusions hâtives.....

[YoyoS]

C'est quand même un problème de vérification sur la saisie ...

[bobomazo]

je vais être très terre à terre, mais www.joomla.org qui fait partie des sites les plus fréquentés du web (pr 9 !) ne semble pas connaître de problèmes (apparents) de sécurité !

Perso, j'ai plusieurs sites joomla (1.0.15) et avec quelques ajustements pour la sécurité, je n'ai pas de soucis. Et pourtant, les tentatives d'attaque ne manquent pas !!!

Alors que penser ? En tous cas, n'oublions pas de féliciter l'équipe de développeurs qui continuent à améliorer ce CMS. C'est gratuit et c'est rare, et pour les gars qui ne sont pas développeurs (oui, il y en a...), Joomla c'est du pain béni !