9:54 p.m.
Bon, les gens, on a du boulot !
---------- Forwarded message ----------
From: Egidio Romano <n0b0d13s(a)gmail.com>
Date: 2014-05-14 21:20 GMT+02:00
Subject: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
To: security(a)dotclear.net, contact(a)dotclear.net
Hello,
I discovered some security issues in the latest version of Dotclear, and
very likely older versions are affected as well.
1) Authentication bypass in the XML/RPC interface
This issue is due to the dcXmlRpc::setUser method
(inc/core/class.dc.xmlrpc.php) not properly verifying the provided password
before being used in a call to the dcAuth::checkUser method. This could be
exploited to bypass the authentication mechanism by calling a XML/RPC
method with a valid username and an empty password. Successful exploitation
of this issue requires the XML/RPC interface to be enabled.
2) Unrestricted file upload in the media manager
This issue is due to the filemanager::isFileExclude method
(inc/libs/clearbricks/filemanager/class.filemanager.php) not properly
verifying the extension of uploaded files. This method just checks if the
uploaded file name matches the "exclude_pattern" regular expression, which
by default is set to "/\.php$/i". This might not be enough to prevent PHP
code execution, because other extensions (like .php5, .phtml, etc...) might
be used and handled as PHP script by the web server. Furthermore, this
approach could be bypassed by uploading a file with multiple extensions
(like evil.php.foo).
3) SQL injection in admin/categories.php
Input passed via the $_POST['categories_order'] parameter to
admin/categories.php is not properly verified before being passed to
the dcBlog::updCategoryPosition method. This could be exploited to conduct
SQL injection attacks leveraging the UPDATE statement defined in
the nestedTree::updatePosition method. Successful exploitation of this
issue requires an account with the "manage categories" permission.
[-] Proof of Concept
Please fine attached two PoC scripts, which are intended to be used from
the command line (CLI):
- xmlrpc.php tries to exploit (1) and (2) together to upload a PHP file.
- sqli.php tries to exploit (3) to fetch user ID and password of a super
user.
If you have any questions or concerns about the matter above, please do not
hesitate to contact me.
Best regards,
Egidio Romano
--
Dotclear Team
5:38 a.m.
Pour le PoC : https://dl.dropboxusercontent.com/u/58521/PoC.zip
Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
2014-05-14 21:54 GMT+02:00 Dotclear (contact)
<contact(a)dotclear.net>:
> Bon, les gens, on a du boulot !
>
Plop,
Tu peux mettre les pièces jointes quelque part ? Elles ne passent pas sur
la ml
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
5:46 a.m.
Ah, au fait, je viens de remercier Romano (je suppose que c'est son prénom).
Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
2014-05-14 21:54 GMT+02:00 Dotclear (contact)
<contact(a)dotclear.net>:
> Bon, les gens, on a du boulot !
>
Plop,
Tu peux mettre les pièces jointes quelque part ? Elles ne passent pas sur
la ml
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
6:02 a.m.
2014-05-15 11:46 GMT+08:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
Ah, au fait, je viens de remercier Romano (je suppose que c'est
son
prénom).
Hmm pas sûr :)
Aldo Romano est un batteur de jazz, mais "Romano" c'est son nom de famille
;)
Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
> 2014-05-14 21:54 GMT+02:00 Dotclear (contact) <contact(a)dotclear.net>:
>
> > Bon, les gens, on a du boulot !
> >
>
> Plop,
>
> Tu peux mettre les pièces jointes quelque part ? Elles ne passent pas sur
> la ml
>
> --
> Bruno
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Pierre Equoy
8:44 a.m.
Bruno, t'as commité avec deux bouts de branche default ! Va falloir que tu
vires celle où t'as fait les essais d'URL handler côté admin ;-)
Le 15 mai 2014 06:02, Pierre Equoy <pierre.equoy(a)gmail.com> a écrit :
2014-05-15 11:46 GMT+08:00 Franck Paul
<carnet.franck.paul(a)gmail.com>:
> Ah, au fait, je viens de remercier Romano (je suppose que c'est son
> prénom).
>
Hmm pas sûr :)
Aldo Romano est un batteur de jazz, mais "Romano" c'est son nom de famille
;)
>
>
> Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
>
> > 2014-05-14 21:54 GMT+02:00 Dotclear (contact) <contact(a)dotclear.net>:
> >
> > > Bon, les gens, on a du boulot !
> > >
> >
> > Plop,
> >
> > Tu peux mettre les pièces jointes quelque part ? Elles ne passent pas
sur
> > la ml
> >
> > --
> > Bruno
> > --
> > Dev mailing list - Dev(a)list.dotclear.org -
> > http://ml.dotclear.org/listinfo/dev
> >
>
>
>
> --
> Franck
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Pierre Equoy
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
8:44 a.m.
Ou que tu merges, au choix.
Le 15 mai 2014 08:44, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Bruno, t'as commité avec deux bouts de branche default ! Va
falloir que tu
vires celle où t'as fait les essais d'URL handler côté admin ;-)
Le 15 mai 2014 06:02, Pierre Equoy <pierre.equoy(a)gmail.com> a écrit :
2014-05-15 11:46 GMT+08:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
>
> > Ah, au fait, je viens de remercier Romano (je suppose que c'est son
> > prénom).
> >
>
> Hmm pas sûr :)
> Aldo Romano est un batteur de jazz, mais "Romano" c'est son nom de
famille
> ;)
>
>
>
> >
> >
> > Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
> >
> > > 2014-05-14 21:54 GMT+02:00 Dotclear (contact)
<contact(a)dotclear.net>:
> > >
> > > > Bon, les gens, on a du boulot !
> > > >
> > >
> > > Plop,
> > >
> > > Tu peux mettre les pièces jointes quelque part ? Elles ne passent pas
> sur
> > > la ml
> > >
> > > --
> > > Bruno
> > > --
> > > Dev mailing list - Dev(a)list.dotclear.org -
> > > http://ml.dotclear.org/listinfo/dev
> > >
> >
> >
> >
> > --
> > Franck
> > --
> > Dev mailing list - Dev(a)list.dotclear.org -
> > http://ml.dotclear.org/listinfo/dev
> >
>
>
>
> --
> Pierre Equoy
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Franck
8:48 a.m.
Le 15 mai 2014 08:44, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Ou que tu merges, au choix.
J'étais juste en train de le faire, c'est corrigé maintenant :)
Sur default post.php montre comment on pourrait (devrait) corriger tous les
liens vers les url d'admin dans les pages d'admin.
1/ et 3/ corrigés sur la 2.6 et sur default. Pour le 2/ ça reste le débat
éternel, il n'y a pas de solution correcte, si ce n'est d'éduquer
correctement celui qui gère la plate-forme.
Pour le 1/, il y avait en effet une belle faille sur le mot de passe. J'en
ai profité pour virer le test sur auth->userID() qui ne sert pas, vu qu'on
ne crée aucune session http.
--
Bruno
8:51 a.m.
Yep c'est ce que je pense aussi pour le 2.
On va du coup sortir une 2.6.3 demain ou après-demain (ah non, samedi j'ai
un mariage), ou dimanche.
Quant aux URL d'admin je viens de (re)voir ça, et oui c'est à généraliser
pour la 2.7
Le 15 mai 2014 08:48, Bruno <dsls(a)morefnu.org> a écrit :
Le 15 mai 2014 08:44, Franck Paul
<carnet.franck.paul(a)gmail.com> a écrit :
> Ou que tu merges, au choix.
>
J'étais juste en train de le faire, c'est corrigé maintenant :)
Sur default post.php montre comment on pourrait (devrait) corriger tous les
liens vers les url d'admin dans les pages d'admin.
1/ et 3/ corrigés sur la 2.6 et sur default. Pour le 2/ ça reste le débat
éternel, il n'y a pas de solution correcte, si ce n'est d'éduquer
correctement celui qui gère la plate-forme.
Pour le 1/, il y avait en effet une belle faille sur le mot de passe. J'en
ai profité pour virer le test sur auth->userID() qui ne sert pas, vu qu'on
ne crée aucune session http.
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
1:13 p.m.
Pour le point 2, il est vrai qu'un simple .htaccess à la racine du dossier
public avec un "php_flag engine off" suffit à empêcher l'exécution, mais
est-ce que tout le monde a la possibilité de le faire ?
Le 15 mai 2014 08:48, Bruno <dsls(a)morefnu.org> a écrit :
Le 15 mai 2014 08:44, Franck Paul
<carnet.franck.paul(a)gmail.com> a écrit :
> Ou que tu merges, au choix.
>
J'étais juste en train de le faire, c'est corrigé maintenant :)
Sur default post.php montre comment on pourrait (devrait) corriger tous les
liens vers les url d'admin dans les pages d'admin.
1/ et 3/ corrigés sur la 2.6 et sur default. Pour le 2/ ça reste le débat
éternel, il n'y a pas de solution correcte, si ce n'est d'éduquer
correctement celui qui gère la plate-forme.
Pour le 1/, il y avait en effet une belle faille sur le mot de passe. J'en
ai profité pour virer le test sur auth->userID() qui ne sert pas, vu qu'on
ne crée aucune session http.
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
1:26 p.m.
Le 15 mai 2014 13:13, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Pour le point 2, il est vrai qu'un simple .htaccess à la racine
du dossier
public avec un "php_flag engine off" suffit à empêcher l'exécution, mais
est-ce que tout le monde a la possibilité de le faire ?
Clairement non. Déjà, avoir un .htaccess suppose avoir un apache, ce qui
n'est pas forcément le cas :)
--
Bruno
1:29 p.m.
Bon cela dit, ça ne coûtera rien de rappeler deux-trois vérités lors de la
sortie de la 2.6.3 du genre : .htaccess idoine, ou pas de scripts dans le
dossier public, … etc
Le 15 mai 2014 13:26, Bruno <dsls(a)morefnu.org> a écrit :
Le 15 mai 2014 13:13, Franck Paul
<carnet.franck.paul(a)gmail.com> a écrit :
> Pour le point 2, il est vrai qu'un simple .htaccess à la racine du
dossier
> public avec un "php_flag engine off" suffit à empêcher l'exécution,
mais
> est-ce que tout le monde a la possibilité de le faire ?
>
Clairement non. Déjà, avoir un .htaccess suppose avoir un apache, ce qui
n'est pas forcément le cas :)
--
Bruno
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
1:44 p.m.
J'avoue ne pas tout comprendre à la discussion sauf que c'est de la sécurité et
juste rappeler que pas mal d'utilisateurs ne sont pas plus geek que cela, donc qui dis
rappel de sécu dit éventuellement un tutoriel détaillé. Combien de fois sur le forum
j'ai été perdu quand on m'a dis ben tu fais fait un .htacess ;-)
Le 15 mai 2014 à 13:29, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Bon cela dit, ça ne coûtera rien de rappeler deux-trois vérités lors
de la
sortie de la 2.6.3 du genre : .htaccess idoine, ou pas de scripts dans le
dossier public, … etc
Le 15 mai 2014 13:26, Bruno <dsls(a)morefnu.org> a écrit :
> Le 15 mai 2014 13:13, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
>
>> Pour le point 2, il est vrai qu'un simple .htaccess à la racine du
> dossier
>> public avec un "php_flag engine off" suffit à empêcher l'exécution,
mais
>> est-ce que tout le monde a la possibilité de le faire ?
>>
>
> Clairement non. Déjà, avoir un .htaccess suppose avoir un apache, ce qui
> n'est pas forcément le cas :)
>
> --
> Bruno
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Dev mailing list - Dev(a)list.dotclear.org - http://ml.dotclear.org/listinfo/dev
1:50 p.m.
Le 15 mai 2014 13:44, gilsoub <gilsoub(a)free.fr> a écrit :
J'avoue ne pas tout comprendre à la discussion sauf que c'est
de la
sécurité et juste rappeler que pas mal d'utilisateurs ne sont pas plus geek
que cela, donc qui dis rappel de sécu dit éventuellement un tutoriel
détaillé. Combien de fois sur le forum j'ai été perdu quand on m'a dis ben
tu fais fait un .htacess ;-)
Le problème c'est qu'il n'y a pas de recette miracle, ça dépend beaucoup de
l'hébergeur et du soft qui fait tourner php.
Chez free par exemple on ne peut pas faire grand chose dans un htaccess
Chez OVH on ne peut pas désactiver les .php
Avec nginx ou lighttpd, il faut jouer sur autre chose que les .htaccess
...
Le seul moyen de résoudre ce souci est de faire un guide hébergeur par
hébergeur.
--
Bruno
2:03 p.m.
Chez OVH on ne peut pas désactiver les .php
Je viens de tester sur mon hébergement mutu OVH : toutes les images
sautent avec cette directive.
Guillaume
--
https://twitter.com/deckarudo
2:09 p.m.
Le 15 mai 2014 14:03, Guillaume Vialet <mailing-dotclear(a)vialet.org> a
écrit :
> Chez OVH on ne peut pas désactiver les .php
Je viens de tester sur mon hébergement mutu OVH : toutes les images
sautent avec cette directive.
Cette page :
http://stackoverflow.com/questions/1271899/disable-php-in-directory-inclu...
montre le nombre de moyens de le faire, malheureusement aucune des méthodes
proposées n'est universelle...
10:57 a.m.
En attendant que la 2.6.3 sorte, et si vous n'avez pas besoin du XML-RPC,
il est conseillé de désactiver ça côté " Réglages du blog ".
Le 15 mai 2014 14:09, Bruno <dsls(a)morefnu.org> a écrit :
Le 15 mai 2014 14:03, Guillaume Vialet
<mailing-dotclear(a)vialet.org> a
écrit :
> > Chez OVH on ne peut pas désactiver les .php
>
> Je viens de tester sur mon hébergement mutu OVH : toutes les images
> sautent avec cette directive.
>
>
Cette page :
http://stackoverflow.com/questions/1271899/disable-php-in-directory-inclu...
montre le nombre de moyens de le faire, malheureusement aucune des méthodes
proposées n'est universelle...
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
12:11 p.m.
New subject: Re : Re: Fwd: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
C est quoi le XML-RPC ?
12:15 p.m.
New subject: Re : Re: Fwd: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
zaboutek(a)yahoo.fr a écrit :
C est quoi le XML-RPC ?
Un truc qui permet d’éditer son blog depuis une appli externe
(scribfire, en extension Firefox, est un exemple).
Par défaut ça n’est pas activé dans Dotclear, donc si tu ne sais pas ce
que c’est, tu ne l’as probablement jamais mis en service et tu n’est pas
menacée par la faille ;-)
Lomalarch
http://lomalarch.free.fr/
12:27 p.m.
New subject: Re : Re: Re : Re: Fwd: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
Si je crois Ue je l ai activé quand je me servais d une appli avant que dotclear soit
responsive.
Je vais regarder.
12:40 p.m.
Bonjour Franck,
Le vendredi 16 mai 2014 à 10:57:20, vous écriviez :
En attendant que la 2.6.3 sorte, et si vous n'avez pas besoin du
XML-RPC,
il est conseillé de désactiver ça côté " Réglages du blog ".
Merci pour l'info mais pourquoi restreindre cette info sécurité au
club très très réduit de cette ml ?
--
brol
12:45 p.m.
Parce que je vais (peut-être) sortir la 2.6.3 aujourd'hui, et que dans ce
cas l'info sera diffusée par ce biais (et le billet qui va avec sur le blog
DC).
J'aviserai d'ici ce soir.
Le 16 mai 2014 12:40, brol <brol31(a)gmail.com> a écrit :
Bonjour Franck,
Le vendredi 16 mai 2014 à 10:57:20, vous écriviez :
> En attendant que la 2.6.3 sorte, et si vous n'avez pas besoin du XML-RPC,
> il est conseillé de désactiver ça côté " Réglages du blog ".
Merci pour l'info mais pourquoi restreindre cette info sécurité au
club très très réduit de cette ml ?
--
brol
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
1:22 p.m.
À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit ?
Le 16 mai 2014 12:45, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Parce que je vais (peut-être) sortir la 2.6.3 aujourd'hui, et que
dans ce
cas l'info sera diffusée par ce biais (et le billet qui va avec sur le blog
DC).
J'aviserai d'ici ce soir.
Le 16 mai 2014 12:40, brol <brol31(a)gmail.com> a écrit :
Bonjour Franck,
>
> Le vendredi 16 mai 2014 à 10:57:20, vous écriviez :
>
> > En attendant que la 2.6.3 sorte, et si vous n'avez pas besoin du
> XML-RPC,
> > il est conseillé de désactiver ça côté " Réglages du blog ".
>
> Merci pour l'info mais pourquoi restreindre cette info sécurité au
> club très très réduit de cette ml ?
>
> --
> brol
>
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Franck
2:45 p.m.
Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
Je n'ai pas vu de différence avec la précédente, il faudrait ?
--
Philippe
Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit
?
2:56 p.m.
Nope, justement, normalement ça ne doit rien changer du tout, on a juste
fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi j'ai juste
publié la nouvelle version
Le 16 mai 2014 14:45, Philippe <philippe(a)dissitou.org> a écrit :
Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
Je n'ai pas vu de différence avec la précédente, il faudrait ?
--
Philippe
Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
> À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit ?
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
2:57 p.m.
Et d'ailleurs j'en profite pour vous signaler que la 2.6.3 est sortie.
Le 16 mai 2014 14:56, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Nope, justement, normalement ça ne doit rien changer du tout, on a
juste
fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi j'ai juste
publié la nouvelle version
Le 16 mai 2014 14:45, Philippe <philippe(a)dissitou.org> a écrit :
Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
>
> Je n'ai pas vu de différence avec la précédente, il faudrait ?
> --
> Philippe
>
>
> Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit
> :
> > À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit ?
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Franck
--
Franck
3:07 p.m.
Tiens, au passage, si un anglophone pouvait me faire une p'tite traduction
de ça (présent dans le billet d'annonce FR et absent du billet EN) :
----
Il nous a également alerté sur la possibilité d'envoyer et de faire
exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas
garantir complètement ce genre de défaut et il faut veiller à ne pas
laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter
qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et
dépendent essentiellement de l'hébergeur et du logiciel serveur.
Pour Apache, par exemple, un fichier .htaccess placé dans le dossier public
et contenant la directive suivante permet de l'éviter :
php_flag engine off
----
Merci beaucoup d'avance !
Le 16 mai 2014 14:57, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Et d'ailleurs j'en profite pour vous signaler que la 2.6.3
est sortie.
Le 16 mai 2014 14:56, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Nope, justement, normalement ça ne doit rien changer du tout, on a juste
> fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi j'ai juste
> publié la nouvelle version
>
>
> Le 16 mai 2014 14:45, Philippe <philippe(a)dissitou.org> a écrit :
>
> Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
>>
>> Je n'ai pas vu de différence avec la précédente, il faudrait ?
>> --
>> Philippe
>>
>>
>> Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com> a
>> écrit :
>> > À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit ?
>> --
>> Dev mailing list - Dev(a)list.dotclear.org -
>> http://ml.dotclear.org/listinfo/dev
>>
>
>
>
> --
> Franck
>
--
Franck
--
Franck
3:27 p.m.
He also warned us on the possibility to send PHP scripts into the media
folder and to get them executed from there. Dotclear cannot entirely
protect against this kind of defect and you should ensure to not leave such
files in your medias, or if it's necessary, to make sure that they are not
executable. In order to do so, a few methods exist and rely essentially on
the web host and the sofware used for the server.
For Apache in example, a .htaccess file located in the public folder and
including the following directive allows to avoid the issue:
php_flag engine off
----
Je m'en vais de ce pas installer la 2.6.3, merci !
2014-05-16 9:07 GMT-04:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
Tiens, au passage, si un anglophone pouvait me faire une p'tite
traduction
de ça (présent dans le billet d'annonce FR et absent du billet EN) :
----
Il nous a également alerté sur la possibilité d'envoyer et de faire
exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas
garantir complètement ce genre de défaut et il faut veiller à ne pas
laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter
qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et
dépendent essentiellement de l'hébergeur et du logiciel serveur.
Pour Apache, par exemple, un fichier .htaccess placé dans le dossier public
et contenant la directive suivante permet de l'éviter :
php_flag engine off
----
Merci beaucoup d'avance !
Le 16 mai 2014 14:57, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
> Et d'ailleurs j'en profite pour vous signaler que la 2.6.3 est sortie.
>
>
> Le 16 mai 2014 14:56, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
>
> Nope, justement, normalement ça ne doit rien changer du tout, on a juste
>> fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi j'ai
juste
>> publié la nouvelle version
>>
>>
>> Le 16 mai 2014 14:45, Philippe <philippe(a)dissitou.org> a écrit :
>>
>> Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
>>>
>>> Je n'ai pas vu de différence avec la précédente, il faudrait ?
>>> --
>>> Philippe
>>>
>>>
>>> Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com> a
>>> écrit :
>>> > À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette nuit
?
>>> --
>>> Dev mailing list - Dev(a)list.dotclear.org -
>>> http://ml.dotclear.org/listinfo/dev
>>>
>>
>>
>>
>> --
>> Franck
>>
>
>
>
> --
> Franck
>
--
Franck
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Christopher Crouzet
*http://christophercrouzet.com* <http://christophercrouzet.com>
3:32 p.m.
Merci a lot :-)
Le 16 mai 2014 15:27, Christopher Crouzet <christopher.crouzet(a)gmail.com> a
écrit :
He also warned us on the possibility to send PHP scripts into the
media
folder and to get them executed from there. Dotclear cannot entirely
protect against this kind of defect and you should ensure to not leave such
files in your medias, or if it's necessary, to make sure that they are not
executable. In order to do so, a few methods exist and rely essentially on
the web host and the sofware used for the server.
For Apache in example, a .htaccess file located in the public folder and
including the following directive allows to avoid the issue:
php_flag engine off
----
Je m'en vais de ce pas installer la 2.6.3, merci !
2014-05-16 9:07 GMT-04:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
> Tiens, au passage, si un anglophone pouvait me faire une p'tite
traduction
> de ça (présent dans le billet d'annonce FR et absent du billet EN) :
>
> ----
>
> Il nous a également alerté sur la possibilité d'envoyer et de faire
> exécuter dans le dossier des médias un script PHP. Dotclear ne peut pas
> garantir complètement ce genre de défaut et il faut veiller à ne pas
> laisser de tel fichiers dans vos médias, ou, si c'est important, d'éviter
> qu'ils soient exécutables. Pour ce faire plusieurs techniques existent et
> dépendent essentiellement de l'hébergeur et du logiciel serveur.
>
> Pour Apache, par exemple, un fichier .htaccess placé dans le dossier
public
> et contenant la directive suivante permet de l'éviter :
>
> php_flag engine off
>
> ----
>
> Merci beaucoup d'avance !
>
>
>
> Le 16 mai 2014 14:57, Franck Paul <carnet.franck.paul(a)gmail.com> a
écrit :
>
> > Et d'ailleurs j'en profite pour vous signaler que la 2.6.3 est sortie.
> >
> >
> > Le 16 mai 2014 14:56, Franck Paul <carnet.franck.paul(a)gmail.com> a
> écrit :
> >
> > Nope, justement, normalement ça ne doit rien changer du tout, on a
juste
> >> fermé un p'tit trou et un gros, enfin c'est Bruno qui a, moi
j'ai
juste
> >> publié la nouvelle version
> >>
> >>
> >> Le 16 mai 2014 14:45, Philippe <philippe(a)dissitou.org> a écrit :
> >>
> >> Ouaipe, la 2.6.3-r2709 propulse mes 5 domaines depuis ce matin
> >>>
> >>> Je n'ai pas vu de différence avec la précédente, il faudrait ?
> >>> --
> >>> Philippe
> >>>
> >>>
> >>> Le 16 mai 2014 13:22, Franck Paul <carnet.franck.paul(a)gmail.com>
a
> >>> écrit :
> >>> > À ce sujet, quelqu'un a-t-il testé la nightly 2.6.3 de cette
nuit ?
> >>> --
> >>> Dev mailing list - Dev(a)list.dotclear.org -
> >>> http://ml.dotclear.org/listinfo/dev
> >>>
> >>
> >>
> >>
> >> --
> >> Franck
> >>
> >
> >
> >
> > --
> > Franck
> >
>
>
>
> --
> Franck
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Christopher Crouzet
*http://christophercrouzet.com* <http://christophercrouzet.com>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
8:49 a.m.
Merci Bruno :-D
Le 15 mai 2014 08:44, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Ou que tu merges, au choix.
Le 15 mai 2014 08:44, Franck Paul <carnet.franck.paul(a)gmail.com> a écrit :
Bruno, t'as commité avec deux bouts de branche default ! Va falloir que tu
> vires celle où t'as fait les essais d'URL handler côté admin ;-)
>
>
> Le 15 mai 2014 06:02, Pierre Equoy <pierre.equoy(a)gmail.com> a écrit :
>
> 2014-05-15 11:46 GMT+08:00 Franck Paul <carnet.franck.paul(a)gmail.com>:
>>
>> > Ah, au fait, je viens de remercier Romano (je suppose que c'est son
>> > prénom).
>> >
>>
>> Hmm pas sûr :)
>> Aldo Romano est un batteur de jazz, mais "Romano" c'est son nom de
>> famille
>> ;)
>>
>>
>>
>> >
>> >
>> > Le 14 mai 2014 22:31, Bruno <dsls(a)morefnu.org> a écrit :
>> >
>> > > 2014-05-14 21:54 GMT+02:00 Dotclear (contact) <contact(a)dotclear.net
>> >:
>> > >
>> > > > Bon, les gens, on a du boulot !
>> > > >
>> > >
>> > > Plop,
>> > >
>> > > Tu peux mettre les pièces jointes quelque part ? Elles ne passent
>> pas sur
>> > > la ml
>> > >
>> > > --
>> > > Bruno
>> > > --
>> > > Dev mailing list - Dev(a)list.dotclear.org -
>> > > http://ml.dotclear.org/listinfo/dev
>> > >
>> >
>> >
>> >
>> > --
>> > Franck
>> > --
>> > Dev mailing list - Dev(a)list.dotclear.org -
>> > http://ml.dotclear.org/listinfo/dev
>> >
>>
>>
>>
>> --
>> Pierre Equoy
>> --
>> Dev mailing list - Dev(a)list.dotclear.org -
>> http://ml.dotclear.org/listinfo/dev
>>
>
>
>
> --
> Franck
>
--
Franck
--
Franck
10:45 p.m.
Concernant le 1/ xmlrpc est-il censé gérer des sessions http ? Sinon, je
pense qu'on peut virer un bout de code inutile de setUser (le 1er test).
2014-05-14 21:54 GMT+02:00 Dotclear (contact) <contact(a)dotclear.net>:
Bon, les gens, on a du boulot !
---------- Forwarded message ----------
From: Egidio Romano <n0b0d13s(a)gmail.com>
Date: 2014-05-14 21:20 GMT+02:00
Subject: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
To: security(a)dotclear.net, contact(a)dotclear.net
Hello,
I discovered some security issues in the latest version of Dotclear, and
very likely older versions are affected as well.
1) Authentication bypass in the XML/RPC interface
This issue is due to the dcXmlRpc::setUser method
(inc/core/class.dc.xmlrpc.php) not properly verifying the provided password
before being used in a call to the dcAuth::checkUser method. This could be
exploited to bypass the authentication mechanism by calling a XML/RPC
method with a valid username and an empty password. Successful exploitation
of this issue requires the XML/RPC interface to be enabled.
2) Unrestricted file upload in the media manager
This issue is due to the filemanager::isFileExclude method
(inc/libs/clearbricks/filemanager/class.filemanager.php) not properly
verifying the extension of uploaded files. This method just checks if the
uploaded file name matches the "exclude_pattern" regular expression, which
by default is set to "/\.php$/i". This might not be enough to prevent PHP
code execution, because other extensions (like .php5, .phtml, etc...) might
be used and handled as PHP script by the web server. Furthermore, this
approach could be bypassed by uploading a file with multiple extensions
(like evil.php.foo).
3) SQL injection in admin/categories.php
Input passed via the $_POST['categories_order'] parameter to
admin/categories.php is not properly verified before being passed to
the dcBlog::updCategoryPosition method. This could be exploited to conduct
SQL injection attacks leveraging the UPDATE statement defined in
the nestedTree::updatePosition method. Successful exploitation of this
issue requires an account with the "manage categories" permission.
[-] Proof of Concept
Please fine attached two PoC scripts, which are intended to be used from
the command line (CLI):
- xmlrpc.php tries to exploit (1) and (2) together to upload a PHP file.
- sqli.php tries to exploit (3) to fetch user ID and password of a super
user.
If you have any questions or concerns about the matter above, please do not
hesitate to contact me.
Best regards,
Egidio Romano
--
Dotclear Team
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
5:40 a.m.
Pour les sessions HTTP, je ne sais pas. Cela dit je pense que pour un
simple usage via clients riches (MarsEdit et consort), on ne doit pas en
avoir besoin.
2014-05-14 22:45 GMT+02:00 Bruno <dsls(a)morefnu.org>:
Concernant le 1/ xmlrpc est-il censé gérer des sessions http ? Sinon,
je
pense qu'on peut virer un bout de code inutile de setUser (le 1er test).
2014-05-14 21:54 GMT+02:00 Dotclear (contact) <contact(a)dotclear.net>:
> Bon, les gens, on a du boulot !
>
> ---------- Forwarded message ----------
> From: Egidio Romano <n0b0d13s(a)gmail.com>
> Date: 2014-05-14 21:20 GMT+02:00
> Subject: Dotclear <= 2.6.2 Multiple Security Vulnerabilities
> To: security(a)dotclear.net, contact(a)dotclear.net
>
>
> Hello,
>
> I discovered some security issues in the latest version of Dotclear, and
> very likely older versions are affected as well.
>
> 1) Authentication bypass in the XML/RPC interface
>
> This issue is due to the dcXmlRpc::setUser method
> (inc/core/class.dc.xmlrpc.php) not properly verifying the provided
password
> before being used in a call to the dcAuth::checkUser method. This could
be
> exploited to bypass the authentication mechanism by calling a XML/RPC
> method with a valid username and an empty password. Successful
exploitation
> of this issue requires the XML/RPC interface to be enabled.
>
> 2) Unrestricted file upload in the media manager
>
> This issue is due to the filemanager::isFileExclude method
> (inc/libs/clearbricks/filemanager/class.filemanager.php) not properly
> verifying the extension of uploaded files. This method just checks if the
> uploaded file name matches the "exclude_pattern" regular expression,
which
> by default is set to "/\.php$/i". This might not be enough to prevent PHP
> code execution, because other extensions (like .php5, .phtml, etc...)
might
> be used and handled as PHP script by the web server. Furthermore, this
> approach could be bypassed by uploading a file with multiple extensions
> (like evil.php.foo).
>
> 3) SQL injection in admin/categories.php
>
> Input passed via the $_POST['categories_order'] parameter to
> admin/categories.php is not properly verified before being passed to
> the dcBlog::updCategoryPosition method. This could be exploited to
conduct
> SQL injection attacks leveraging the UPDATE statement defined in
> the nestedTree::updatePosition method. Successful exploitation of this
> issue requires an account with the "manage categories" permission.
>
> [-] Proof of Concept
>
> Please fine attached two PoC scripts, which are intended to be used from
> the command line (CLI):
> - xmlrpc.php tries to exploit (1) and (2) together to upload a PHP file.
> - sqli.php tries to exploit (3) to fetch user ID and password of a super
> user.
>
> If you have any questions or concerns about the matter above, please do
not
> hesitate to contact me.
>
> Best regards,
> Egidio Romano
>
>
>
> --
> Dotclear Team
>
> --
> Dev mailing list - Dev(a)list.dotclear.org -
> http://ml.dotclear.org/listinfo/dev
>
--
Dev mailing list - Dev(a)list.dotclear.org -
http://ml.dotclear.org/listinfo/dev
--
Franck
3643
days inactive
3645
days old
31 comments
11 participants
participants (11)
-
brol -
Bruno -
Christopher Crouzet -
Dotclear (contact) -
Franck Paul -
gilsoub -
Guillaume Vialet -
Lomalarch -
Philippe -
Pierre Equoy -
zaboutek@yahoo.fr