[Obsolete] !! Patch sécurité MODx 0.9.x !! (MODx 0.9.2.2)

[Guest]

Welcome, Guest. Please login or register.
Did you miss your activation email?

1 Hour 1 Day 1 Week 1 Month Forever
Login with username, password and session length

[davidm]

Obsolete : Au minimum, votre install de MODx devrait être mise à jour en 0.9.5 à l'heure ou je vous parle (mars 2007)

!! Attention à tous ceux qui utilisent MODx 0.9.2.1 ou inférieur !!

La version 0.9.2.2 est une mise à jour importante de sécurité qui est issue des améliorations apportées à la 0.9.5 et qui permet de sécuriser MODx contre des vulnérabilités XSS.

Ceux qui utilisent MODx 0.9.2.1 peuvent se contenter de télécharger le patch de sécurité

Les autres (0.9.x) doivent télécharger l'archive complète de MODx 0.9.2.2

Pour la version Free de MODx : merci de télécharger la version modifiée du patch 0.9.2.2. Pour ceux qui font une nouvelle install, merci d'installer d'abord la 0.9.2.1 modifiée pour Free PUIS le patch.

Annonce originale : http://modxcms.com/forums/index.php/topic,8726.0.html

[chucky]

c'est uniquement le correctif que t'avais filé dans le post just en dessous ? ou ca fixe ossi d'autres problèmes ?
merci

[davidm]

Non ça fixe aussi toutes les failles potentielles de nature similaire (lié à register_globals On).

[Stéphanie]

Bonjour

J'utilise la version 0.9.2.1 et j'ai téléchargé le correctif... je ne comprends pas l'étape 3 dans le readme (mon anglais...) : pouvez-vous m'expliquer ? Je ne voudrais pas faire une grosse bétise. 

Merci beaucoup !

Stéphanie

[davidm]

* STEP 3: Replace only the files in your existing 0.9.2.1 install with the ones in the archive (leave everything else as is).

Cela veut simplement dire que si tu as une installation en 0.9.2.1 tu n'a besoin d'uploader que les fichiers du patch sur ton serveur (tous), et non pas une distribution complète (tu peux le faire mais c'est inutile). Ca n'est pas très clair je te l'accorde...

Ne surtout pas oublier l'étape 2, la modification du fichier config.inc.php parceque sinon les constantes qui sont définies en lieu et place des variables globales n'auront pas de valeur et là bonjour la surprise :-/

[Avander_be]

J'ai été prévenu par un membre du forum que mon site www.avander.be avait été hacké, en effet la page d'acceuil avait été remplacé par un traditionnel 'Hacked by...'.

J'ai appliqué le correctif en espèrant que le problème serait réglé, or aujourd'hui je reçois le mail suivant:

Code:

http://www.avander.be/manager/media/browser/mcpuk/connectors/php/Commands/www.halifax-online.co.uk/_mem_bin/halifax%20LogIn/

Your web space is hosting a FAKE bank web site !!
Sorry I don\'t speak French

Piot

et effectivement je me retrouve devant une page qui imite l'entrée d'une banque... j'ai renommé les fichiers que je soupçonne être des faux histoire de garder une preuve de l'intrusion.

Pour être 'tranquil' je pense que je suis bon pour effacer tout et réinstaller modx, y-a-t-il autre chose que je puisse faire?

Est-ce que ça vaut la peine d'informer mon hébergeur? Dois-je ( faire) changer les mp reçu de mon hebergeur?

Si vous avez besoin d'autres infos n'hésitez pas...

[davidm]

La première chose à faire ça aurait été de mettre à jour en 0.9.2.2
Puis s'abonner aux annonces de sécurité

Ensuite, c'est de s'assurer que register_globals est sur OFF et si pas possible alors... changer d'hébergeur ?

[Jean-Christian]

Bonjour

J'essaie de passer de 0.9.2.1 => 0.9.2.2.

L'archive semble corrompue 
Comment faire pour l'obtenir, svp ?

[Marc]

Essai avec cela

[davidm]

Le mieux reste quand même de passer directement en 0.9.5