next »

[davidm]

VOIR ce sujet, ce correctif était un patch d'urgence.

Annonce originale ici

Suite à une faille rapportée par Sebiseb puis par Banzai en fin d'après-midi, il existe une faille de sécurité dans le gestionnaire de fichier de FCK qu'utilise MODx si votre serveur est configuré avec register_globals sur ON. Si celui-ci est sur OFF, vous pouvez ignorer cette alerte. (*)

Merci de télécharger la version modifiée du fichier concerné ou d'ajouter les lignes suivantes en tête du fichier Thumbnail.php dans /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php:

Code:

if(!isset($_SESSION['mgrValidated'])) {
    die("<b>INCLUDE_ORDERING_ERROR</b><br /><br />Please use the MODx Content Manager instead of accessing this file directly.");
}

(*) Pour vérifier ce point :
Jusqu'à la 0.9.2.1 allez dans Administration > Afficher Infos Systèmes > View et consultez les détails de votre config php
pour la 0.9.5  allez dans Rapport > Afficher Infos Systèmes > View et consultez les détails de votre config php

[chucky]

mon site a été hacké hier matin, et ce fameux fichier Thumbnail.php contient :

Code:

HACKED BY_ÇETİN

... me suis fait hacké ........ ( pas grave c'est juste 2 fichiers index.php remplacés mais j'ai quand meme bien flippé mdrr )

[heliotrope]

David,

y a t'il un moyen de prévenir les membres enregistrés du forum de cette faille.
Je ne connais pas du tout les fonctionnalités du forum mais ne serait il pas bienvenue d'envoyer un mail à chaque personne enregistrée ?
Certainement nombre d'entre eux ne passe pas sur le forum de façon régulière et risque potentiellement d'être la cible d'un "Jean kevin"

:-)

[Perrine]

Le correctif est-il inclus dans la RC 0.9.5 ?

Helio : bonne idée. Je pense que SMF est pourvu d'un tel outil en plus.

[aour]

Bonjour,

Le correctif est dans la version 0.9.5 depuis la version 1097.

Cordialement

[Eric]

Je me suis fait hacker hier soir. 

[chucky]

les dégâts sont importants ? moi c'est juste 2 fichierx index.php qui ont été remplacés, si toi aussi tu copie/colle un fichier index.php tout neuf que du dl sur le site, ( les fichiers index.php ne sont pas modifiés par l'utilisation de modx, celui qui a disparu suite au hack et le même que celui que tu trouveras dans un modx.zip tout neuf )

[Eric]

Ah non rien de grave j'etais en ligne.
Par contre il a tenté d'installer leur merde de spam...

[davidm]

Pour répondre à la question d'envoi automatisé : oui je pense que c'est possible mais il faut passer par un admin du forum, c'est à dire Zi ou Ryan.

A ceux qui se sont fait hacker : que font les hébergeurs mutualisés ?

C'est quand même dingue de laisser register_globals sur ON (même si je sais que certaines applications mal codées requièrent ce genre de setup...) !

@Aour : tu veux dire rev 1907

[OncleBen31]

Ma page d'accueil a été hacké. Il on pas perdu de temps pour exploiter la faille. 

Il faut vraiment prévenir tout le monde. Je trouve que la visibilité est faible il faudrait que cela soit indiqué dans sur la page d'accueil de modxcms.

Une bonne idée que je vais soumettre c'est d'avoir dans le gestionnaire un cadre réservée à des messages venant du site officielle de MODx (comme dans l'administration de SMF)

[Perrine]

Une bonne idée que je vais soumettre c'est d'avoir dans le gestionnaire un cadre réservée à des messages venant du site officielle de MODx (comme dans l'administration de SMF)

+1 et aussi la possibilité de s'inscrire à une newsletter afin d'être averti des mises à jour majeures et des corrections de bugs (comme le fait phpBB)... encore que l'inscription au fil RSS du forum Annonces peut déjà pallier à l'absence de newsletter

[Eric]

Sa serait sympas oué.
 

[davidm]

J'ai lancé le sujet, et Jason a pris en compte vos suggestions, vous devriez voir du nouveau prochainement... je vous tiens au courant !

[davidm]

Kudolink vient de sortir un module (Krss) qui permet de suivre depuis l'admin de MODx les forums de votre choix... Le module est pré-configuré pour recevoir les annonces du forums english et celui du forum "core code".

Je fournirai (où si quelqu'un veut s'y coller...) le code de configuration nécessaire pour s'abonner au forum Annonces francophone si vous le souhaitez...

[chucky]

ben essayez de mettre une annonce sur le forum, quand au register-global chuis chez OVH
ca correspond a quoi cette option ? ( sorry je ne parle que le (X)Html/CSS )
je pourrais essaye de leur envoyer un mail si cette config te parait "dingue", mais bon ca sera un geste symbolique ^^

[davidm]

Je fournirai (où si quelqu'un veut s'y coller...) le code de configuration nécessaire pour s'abonner au forum Annonces francophone si vous le souhaitez...

Ok c'est fait

ben essayez de mettre une annonce sur le forum, quand au register-global chuis chez OVH ca correspond a quoi cette option ? ( sorry je ne parle que le (X)Html/CSS ) je pourrais essaye de leur envoyer un mail si cette config te parait "dingue", mais bon ca sera un geste symbolique ^^

Je cite la doc en ligne de PHP :

PHP Documentation:
Lorsqu'elle est activée, register_globals  va injecter vos scripts avec toutes sortes de variables, comme les variables issues des formulaires HTML. Ceci, couplé au fait que PHP ne requiert pas d'initialisation de variable signifie que la programmation de script peu sûr est possible. Ce fut une décision difficile de la communauté PHP, mais finalement, il a été décidé de désactiver par défaut cette variable. Lorsqu'elle est active, le programmeur ne sait pas exactement d'où provient le contenu de la variable, et ne peut que faire des suppositions. Les variables internes définies dans le script sont mélangées avec les données envoyées par les utilisateurs, et en désactivant register_globals, on empêche cela.

Pour plus d'info sur register_globals, voir cette page :
http://fr3.php.net/register_globals

A savoir PHP6 ne pourra plus tourner avec register_globals sur On, trop de problème de sécurité jusque là ils ont donc décidé de supprimer cette directive. Elle sera forcémment Off...

[lemerou]

Me suis fait hacker 2 fois moi aussi (une fois vendredi et une fois aujourd'hui... ).
C'est vrai que l'annonce manque un peu de visibilité quand même...

[chucky]

ce qui m'étonne c'est qu'ils ont pas perdu de temps pour s'attaquer aux sites tournant sous modx !!

[lemerou]

D'autant que c'était vraiment ciblé puisqu'en regardant les logs, j'ai vu qu'ils avaient trouvé le site en faisant une recherche sur MODx...

[Gildas]

Pour ceux qui n'auraient pas encore vue l'annonce par rthrash du RSS dédié aux alertes sécurité :

There is a new Security Notices Announcement thread with RSS and Email subscription options: http://modxcms.com/forums/index.php/topic,8718.msg61285.html#msg61285