Accueil arrow News arrow Composants arrow Sale temps pour un Joomla
Sale temps pour un Joomla
Écrit par Lexel le 19-07-2006   

ImageAvec l'arrivée de Joomla et de sa nouvelle équipe, il devient de plus en plus difficile pour les hacker de trouver des failles dans le noyau de Joomla.

Alors tout naturellement ils se tournent vers les extensions additionnelles du CMS

Définition de: CMS
Fermer
Les systèmes de gestion de contenu ou SGC (de l'anglais Content Management System ou CMS) sont une famille de logiciels de conception et de mise à jour dynamique de site Web partageant les fonctionnalités suivantes : ils permettent à plusieurs individus de travailler sur un même document ;ils fournissent une chaîne de publication (workflow) offrant par exemple la possibilité de publier (mettre en ligne le contenu) des documents ;ils permettent de séparer les opérations de gestion de la forme et du contenu ;ils permettent de structurer le contenu (utilisation de FAQ, de document, de blog, forum de discussion, etc.)certains CMS incluent le contrôle de version. Un CMS n'est pas un blog qui présenterait des nouvelles publiées sous forme de fils de discussions, de manière chronologique ou avec un classement par thèmes. Le CMS propose d'autres manières de structurer l'information. Ce n'est pas non plus un wiki d'où la chaîne de publication est absente.   Source : Wikipedia 
, et la il faut dire qu'il y a de quoi faire. Et une fois de plus c'est Phil Taylor qui donne l'alerte en publiant une liste non exhaustive des composant vulnérables qu'il a rencontré lors de ces dernières réparation de site joomla.

 

 

Si vous avez une des ces extentions et que vous n'etes pas certains d'avoir une version "clean" (cad trés recente), il est vivement conseillé de la désactiver :

extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray


 

 

Commentaires (6)add
feedFlux RSS pour les commentaires
0
...
Par jeromehej , 19 juillet 2006
Mon site était sous le CMS NPDS auparavant. Le groupe de développeurs de NPDS validaient ou non les composants proposés par les autres dévéloppeurs. D'autres composants n'étaient pas proposés aux développeurs du CMS.
Donc c'était à nous de prendre le risque ou non d'utiliser les composants validés ou non.
Pourquoi pas créer un groupe de validation de composants pour Joomla ? idem pour les modules, etc.
smilies/smiley.gif
0
...
Par Bertrand , 19 juillet 2006
Ce qui serait pratique c'est de savoir à quoi les dev de composants et autres devraient faire attention, pourquoi ne pas corriger le mal à la racine.
Car finalement si joomla est sécurisé, nous pourrions récupérer les techniques...
0
...
Par jeromehej , 19 juillet 2006
Voici la discussion en rapport que j'ai ouvert sur le forum :
http://forum.joomlafacile.com/showthread.php?p=64579#post64579
0
...
Par lolo , 19 juillet 2006
jeromehej : hello. Probablement parce qu'ils n'y ont pas pens ? Ou parce qu'il y a dj驠 600 ou 700 extensions (composants, modules ou mambots), ou parce que c une charge colossale. Mais bon, c'est une piste. Avoir des composants certifis.... Mais !!! a existe, il y en a quelques uns, dont JoomlaFish ...
0
...
Par mejean , 19 juillet 2006
La plupart des composants cités ont été mis à jour. Pour les anglophones veuillez suivre ce forum : http://forum.joomla.org/index....298.0.html

Méjean

PS : j'avais posté la liste sur forum.joomla.org 48 heures avant le mail de Phyl B)
(voir http://forum.joomla.org/index....682.0.html)
0
...
Par Ganga , 22 juillet 2006
été hacké grave par des turques qui passaient par extcalendar. Manquait la ligne "defined( '_VALID_MOS' ) or die( 'Restricted access' );" dans extcalendar.php. J'ai vérifié les autres composants qui semblent tous ok.

ont été installé par les bouffeurs de loukoums les fichiers suivants (probable backdoors):

Racine: c99shell.php
répertoire extcalendar et celui du MySQL Myadmin : kobrashell.gif.php

Réparation assez facile aprés réinstallation de la dernière upgrade de joomla.

Base de données pas touchée.

N'hésitez pas à m'écrire si vous avez d'autres idées sur tout ça smilies/wink.gif

A suivre ?
Ecrivez un commentaire
Réduire l'éditeur | Agrandir l'éditeur

busy
 
Image
Flux RSS