http://blog.schtunks.info/ Le blog de Schtunks : Ce que j'aime et ce qui m'interpelle ! fr Sat, 11 Oct 2008 15:34:44 +0200 Philippe Pathé 2005-2008 http://blogs.law.harvard.edu/tech/rss Dotclear http://blog.schtunks.info/post/2007/07/11/Faille-de-securite-DotClear-12x-et-2x urn:md5:e20f18d7eab7e2c8d839d84d273d1ec1 Wed, 11 Jul 2007 19:00:00 +0200 schtunks Blog BlogDotClear 2FailleSécurité <p>Le blog officiel de Dotclear <a hreflang="fr" href="http://www.dotclear.net/log/post/2007/07/10/Annonces-de-failles-de-securite">annonce une faille de sécurité</a> dans son moteur de blog. Cela concerne les versions de la branche 1.2.x et de la branche 2.0.x.</p> <p>Le principe est relativement simple et a été dévoilé par <a hreflang="fr" href="http://ar3av.free.fr/faille-dotclear.php">PsychoGun</a> (alias JoeGuillian). Il s'agit de profiter des privilèges de l'utilisateur lorsqu'il est connecté en "administrateur" (il a alors le droit d'écrire sur le serveur) pour exécuter du code malveillant ou déposer des fichiers ouvrant <a hreflang="fr" href="http://fr.wikipedia.org/wiki/Backdoor">une porte dérobée</a>.</p> <p>En attendant une correction complète, les développeurs de DotClear proposent <a hreflang="fr" href="http://www.dotclear.net/log/post/2007/07/10/Annonces-de-failles-de-securite">une rustine de fortune et réitèrent quelques conseils</a>.</p> http://blog.schtunks.info/post/2007/07/11/Faille-de-securite-DotClear-12x-et-2x#comment-form http://blog.schtunks.info/post/2007/07/11/Faille-de-securite-DotClear-12x-et-2x#comment-form http://blog.schtunks.info/feed/rss2/comments/244