Avec l'arrivée de Joomla et de sa nouvelle équipe, il devient de plus en plus difficile pour les hacker de trouver des failles dans le noyau de Joomla.

Alors tout naturellement ils se tournent vers les extensions additionnelles du CMS, et la il faut dire qu'il y a de quoi faire. Et une fois de plus c'est Phil Taylor qui donne l'alerte en publiant une liste non exhaustive des composant vulnérables qu'il a rencontré lors de ces dernières réparation de site joomla.

Si vous avez une des ces extentions et que vous n'etes pas certains d'avoir une version "clean" (cad trés recente), il est vivement conseillé de la désactiver :

extCalender
OpenSEF
phpBB Forum (com_forum)
SimpleBoard Forum
VideoDB
Mambo-SMF Forum
LoudMouth
PollXT
HashCash
perForms
Google Page Rank Module
BSQ SiteStats
MultiBanners
MiniBB
New Article Component
Advanced Poll
JomBok
ArtLinks
PCCookBook
Mambo/Joomla SiteMap (Custom Component)
Galleria
com_spray

Commentaires (6)

Flux RSS pour les commentaires

...
Par jeromehej , 19 juillet 2006

Mon site était sous le CMS NPDS auparavant. Le groupe de développeurs de NPDS validaient ou non les composants proposés par les autres dévéloppeurs. D'autres composants n'étaient pas proposés aux développeurs du CMS.
Donc c'était à nous de prendre le risque ou non d'utiliser les composants validés ou non.
Pourquoi pas créer un groupe de validation de composants pour Joomla ? idem pour les modules, etc.

...
Par Bertrand , 19 juillet 2006

Ce qui serait pratique c'est de savoir à quoi les dev de composants et autres devraient faire attention, pourquoi ne pas corriger le mal à la racine.
Car finalement si joomla est sécurisé, nous pourrions récupérer les techniques...

...
Par jeromehej , 19 juillet 2006

Voici la discussion en rapport que j'ai ouvert sur le forum :
http://forum.joomlafacile.com/showthread.php?p=64579#post64579

...
Par lolo , 19 juillet 2006

jeromehej : hello. Probablement parce qu'ils n'y ont pas pens ? Ou parce qu'il y a dj驠 600 ou 700 extensions (composants, modules ou mambots), ou parce que c une charge colossale. Mais bon, c'est une piste. Avoir des composants certifis.... Mais !!! a existe, il y en a quelques uns, dont JoomlaFish ...

...
Par mejean , 19 juillet 2006

La plupart des composants cités ont été mis à jour. Pour les anglophones veuillez suivre ce forum : http://forum.joomla.org/index....298.0.html

Méjean

PS : j'avais posté la liste sur forum.joomla.org 48 heures avant le mail de Phyl B)
(voir http://forum.joomla.org/index....682.0.html)

...
Par Ganga , 22 juillet 2006

été hacké grave par des turques qui passaient par extcalendar. Manquait la ligne "defined( '_VALID_MOS' ) or die( 'Restricted access' );" dans extcalendar.php. J'ai vérifié les autres composants qui semblent tous ok.

ont été installé par les bouffeurs de loukoums les fichiers suivants (probable backdoors):

Racine: c99shell.php
répertoire extcalendar et celui du MySQL Myadmin : kobrashell.gif.php

Réparation assez facile aprés réinstallation de la dernière upgrade de joomla.

Base de données pas touchée.

N'hésitez pas à m'écrire si vous avez d'autres idées sur tout ça

A suivre ?

Ecrivez un commentaire

Auteur

Email

Site Web

Titre

Commentaire

Réduire l'éditeur | Agrandir l'éditeur

Ajouter un commentaire