[Remplacé par patch 0.9.2.2] Correctif de sécurité MODx 0.9.x !

[Guest]

Welcome, Guest. Please login or register.
Did you miss your activation email?

1 Hour 1 Day 1 Week 1 Month Forever
Login with username, password and session length

[davidm]

VOIR ce sujet, ce correctif était un patch d'urgence.

Annonce originale ici

Suite à une faille rapportée par Sebiseb puis par Banzai en fin d'après-midi, il existe une faille de sécurité dans le gestionnaire de fichier de FCK qu'utilise MODx si votre serveur est configuré avec register_globals sur ON. Si celui-ci est sur OFF, vous pouvez ignorer cette alerte. (*)

Merci de télécharger la version modifiée du fichier concerné ou d'ajouter les lignes suivantes en tête du fichier Thumbnail.php dans /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php:

Code:

if(!isset($_SESSION['mgrValidated'])) {
    die("<b>INCLUDE_ORDERING_ERROR</b><br /><br />Please use the MODx Content Manager instead of accessing this file directly.");
}

(*) Pour vérifier ce point :
Jusqu'à la 0.9.2.1 allez dans Administration > Afficher Infos Systèmes > View et consultez les détails de votre config php
pour la 0.9.5  allez dans Rapport > Afficher Infos Systèmes > View et consultez les détails de votre config php

[chucky]

mon site a été hacké hier matin, et ce fameux fichier Thumbnail.php contient :

Code:

HACKED BY_ÇETİN

... me suis fait hacké ........ ( pas grave c'est juste 2 fichiers index.php remplacés mais j'ai quand meme bien flippé mdrr )

[heliotrope]

David,

y a t'il un moyen de prévenir les membres enregistrés du forum de cette faille.
Je ne connais pas du tout les fonctionnalités du forum mais ne serait il pas bienvenue d'envoyer un mail à chaque personne enregistrée ?
Certainement nombre d'entre eux ne passe pas sur le forum de façon régulière et risque potentiellement d'être la cible d'un "Jean kevin"

:-)

[Perrine]

Le correctif est-il inclus dans la RC 0.9.5 ?

Helio : bonne idée. Je pense que SMF est pourvu d'un tel outil en plus.

[aour]

Bonjour,

Le correctif est dans la version 0.9.5 depuis la version 1097.

Cordialement

[Eric]

Je me suis fait hacker hier soir. 

[chucky]

les dégâts sont importants ? moi c'est juste 2 fichierx index.php qui ont été remplacés, si toi aussi tu copie/colle un fichier index.php tout neuf que du dl sur le site, ( les fichiers index.php ne sont pas modifiés par l'utilisation de modx, celui qui a disparu suite au hack et le même que celui que tu trouveras dans un modx.zip tout neuf )

[Eric]

Ah non rien de grave j'etais en ligne.
Par contre il a tenté d'installer leur merde de spam...

[davidm]

Pour répondre à la question d'envoi automatisé : oui je pense que c'est possible mais il faut passer par un admin du forum, c'est à dire Zi ou Ryan.

A ceux qui se sont fait hacker : que font les hébergeurs mutualisés ?

C'est quand même dingue de laisser register_globals sur ON (même si je sais que certaines applications mal codées requièrent ce genre de setup...) !

@Aour : tu veux dire rev 1907

[OncleBen31]

Ma page d'accueil a été hacké. Il on pas perdu de temps pour exploiter la faille. 

Il faut vraiment prévenir tout le monde. Je trouve que la visibilité est faible il faudrait que cela soit indiqué dans sur la page d'accueil de modxcms.

Une bonne idée que je vais soumettre c'est d'avoir dans le gestionnaire un cadre réservée à des messages venant du site officielle de MODx (comme dans l'administration de SMF)

[Perrine]

Une bonne idée que je vais soumettre c'est d'avoir dans le gestionnaire un cadre réservée à des messages venant du site officielle de MODx (comme dans l'administration de SMF)

+1 et aussi la possibilité de s'inscrire à une newsletter afin d'être averti des mises à jour majeures et des corrections de bugs (comme le fait phpBB)... encore que l'inscription au fil RSS du forum Annonces peut déjà pallier à l'absence de newsletter

[Eric]

Sa serait sympas oué.
 

[davidm]

J'ai lancé le sujet, et Jason a pris en compte vos suggestions, vous devriez voir du nouveau prochainement... je vous tiens au courant !

[davidm]

Kudolink vient de sortir un module (Krss) qui permet de suivre depuis l'admin de MODx les forums de votre choix... Le module est pré-configuré pour recevoir les annonces du forums english et celui du forum "core code".

Je fournirai (où si quelqu'un veut s'y coller...) le code de configuration nécessaire pour s'abonner au forum Annonces francophone si vous le souhaitez...

[chucky]

ben essayez de mettre une annonce sur le forum, quand au register-global chuis chez OVH
ca correspond a quoi cette option ? ( sorry je ne parle que le (X)Html/CSS )
je pourrais essaye de leur envoyer un mail si cette config te parait "dingue", mais bon ca sera un geste symbolique ^^