Cool Forum: securite

Cool Forum

Cool Forum » Générale » Discussions Générales » securite

Connexions

1 connecté(s) sur le forum actuellement: 0 membre(s) | 1 invité(s)

Page : << < 1 | 2 > >>

<<Sujet précédent Sujet suivant>>

Auteur

Message

flamby

Nouveau

Enregistré le 13/03/2003
Messages: 6
Non connecté

Sujet : securite
Ajouté le : 14/03/2003 10:07

Message :

Salut à tous !

Très réussi ce forum, bravo !

Ben moi aussi je suis en train de créer le mien pour mon site, et alors que je me balladais sur le site de Coll Forum, je vois ça dans les news:

[quote]

Un trou de sécurité sur CoolForum 0.6.1b a été découvert par le site wab.com. Ce trou de sécurité est une faille dite par injection et permet d'exécuter du code sur le serveur du forum. Il est donc jugé critique.

ça m'inquiète un peu.. quelqu'un peut m'en dire plus siouplait ??

Merci !

Recharger l'url avec lien direct vers ce message

Editez ce post (réservé aux modérateurs)

Avertissez l'administrateur si le post est non conventionnel

Jean-Glode Pilier www.suidzer0.org : projet décédé Enregistré le 28/04/2002 Messages: 2352 Non connecté	Ajouté le : 14/03/2003 11:25 Message : BAh le pb a été corrigé Si tua s down le forum avant le 24 Janvier faut remplacer tous les fichier php(3) et templates par ceux actuellement dispo au téléchargement. Si c'est pas le acs c'est bon y'a plus de risque -- Coolforum the best forum written in PHP and MySQL --

lemistral Pilier Enregistré le 30/04/2002 Messages: 1977 Non connecté	Ajouté le : 14/03/2003 11:26 Message : tout est expliqué ici : http://www.coolforum.net/forum/readannonce.php3?forumid=5&id=12&p=1 tu mets en place le patch et tu n'auras pas de probleme ...

flamby Nouveau Enregistré le 13/03/2003 Messages: 6 Non connecté	Ajouté le : 14/03/2003 12:29 Message : non, en fait c'était pas ma question... Ce que je veux dire, c'est que j'ai crée mon propre forum et je ne voudrais pas être confronté à ce genre de problèmes. Donc, si c'est pas un secret d'état ou si je ne viole pas les lois du copyright je voudrais savoir de quoi il en retourne...

Jean-Glode Pilier www.suidzer0.org : projet décédé Enregistré le 28/04/2002 Messages: 2352 Non connecté	Ajouté le : 14/03/2003 14:18 Message : Bah pour ça, faut demander le tolier en privé je pense... A moins qu'il passe son nez par là et te réponde -- Coolforum the best forum written in PHP and MySQL --

Cool Coyote

Pilier

Administrateur

Enregistré le 26/09/2001
Messages: 2629
Non connecté

Ajouté le : 14/03/2003 17:45

Message :

Les problèmes de sécurité, soit t'es un dieu en progra et t'arrive à tout prévoir (perso j'ai encore jamais vu le cas), soit t'en laissera toujours passer même des petits qu'il faudra corriger à mesure que toi ou tes utilisateurs les trouveront. Et c'est pas parce que personne te dira rien pendant un an que ça veut dire qu'il y en a pas... Le jour où ça tombera tu te rendras compte que le trou existe depuis des mois mais que le petit malin vient seulement de le trouver.

Donc oui, quoi qu'il arrive tu seras confronté à ce genre de problèmes, tu ne peux pas y échapper

Quant aux trous de sécurité de CoolForum, j'en parle jamais en détail sauf avec quelques personnes. La raison? ben si y'en a qui sont pas à jour, même si tu sais qu'il y a un trou de sécurité ça évite de dire à tout le monde comment faut faire pour l'exploiter, c'est tout simple

Merci de respecter les règles d'ajout de messages !!

Avant de poser une question:

[Documentation] - [FAQ] - [Recherche]

Cool Coyote - Webmaster (me contacter)

eliphas Habitué Enregistré le 19/11/2002 Messages: 189 Non connecté	Ajouté le : 15/03/2003 00:06 Message : je pense que sinon c le boulot de tout admin de diffuser l'info afin que d'autres admin ou programmeur les corriges. c'est le but de l'open sources mais la c mon avis. par pitié pas en phonetique

flamby Nouveau Enregistré le 13/03/2003 Messages: 6 Non connecté	Ajouté le : 15/03/2003 00:24 Message : Je suis bien de ton avis Eliphas, mais d'un autre coté je ne peux pas en vouloir à Cool Coyote.. Il est vrai que sans relation de confiance, donner les failles d'un système peut se reveler hasardeux... J'ai plus qu'a croiser les doigts où peut être que je trouverai la réponse un jour sur le net... Bye !

Cool Coyote

Pilier

Administrateur

Enregistré le 26/09/2001
Messages: 2629
Non connecté

Ajouté le : 15/03/2003 00:55

Message :

Message original: eliphas
je pense que sinon c le boulot de tout admin de diffuser l'info afin que d'autres admin ou programmeur les corriges. c'est le but de l'open sources mais la c mon avis.

ben c'est ce que j'ai dis:

à mesure que toi ou tes utilisateurs les trouveront

J'ai jamais dis que les trous de sécurité découverts l'étaient par moi, c'est grâce à la participation de plusieurs personnes qu'ils ont été trouvés. Mais comme je suis le seul programmeur du forum ben forcément c'est à moi qu'il convient d'en parler, ça parait logique.

d'un autre coté je ne peux pas en vouloir à Cool Coyote

Ben je vois pas pourquoi tu m'en voudrais de quoi que ce soit

. Je pourrai trés bien parler du trou de sécurité en question avec toi mais si t'as pas un minimum de niveau en progra tu comprendras pas grand chose donc je vois pas l'intérêt...

Les infos que j'ai fournis avec le patch en indiquant qu'il s'agit d'un trou par injection est largement suffisant pour n'importe quel programmeur confirmé. Il ne lui faudra pas plus de 1mn 30 pour le trouver en comparant les deux codes et sais déjà de quoi il s'agit. A partir de là bah je pense que y'a rien d'autre à dire quoi

Puis faut pas paniquer, tous les forums, même les plus connus comme VB ont ou ont eu à un moment où à un autre des soucis de sécurité. Ton phpBB est même assez souvent sujet à ce genre de choses

Merci de respecter les règles d'ajout de messages !!

Avant de poser une question:

[Documentation] - [FAQ] - [Recherche]

Cool Coyote - Webmaster (me contacter)

Jean-Glode

Pilier

www.suidzer0.org : projet décédé

Enregistré le 28/04/2002
Messages: 2352
Non connecté

Ajouté le : 15/03/2003 09:36

Message :

De toute manière, pour les problèmes de sécurité, c'est pas la peine de prpager sur ton sit la manière dont il faut pour exploiter ce genre de bug, des sites comme www.securiteinfo.com le font déjà...

Et puis, ça serait donné à des personnes complètement naïve en prog et pas toujours très fines de faire chier toute une communauté d'utilisateur...

Les personnes vraiment curieuse d'en savoir plus connaisse les site relatant les bugs et les suivent de près...

En exemple, lors du bug de sécurité sur la 0.5 j'avais fait une exploitation de tous les coolforums qu'on pouvait atteindre via les sites des membre visible de ce forum.

Et prévenu tous les webmasters, les chiffre étaient assez éloquant... Sur 300 forums visités seul 25 avaient appliqué un patch après diffusion du bugs.

Imaginez si quelqu'un d'autres avait fait des exploitations de bug sur ces 275 forums ???

Le forum ne serait plus vu comme coolforum mais comme craignosforum oui !!

Enfin c'est mon avis hein, et il n'engage que moi.

*** Message édité par Jean-Glode le 15/03/2003 08:42 ***

-- Coolforum the best forum written in PHP and MySQL --

flamby

Nouveau

Enregistré le 13/03/2003
Messages: 6
Non connecté

Ajouté le : 15/03/2003 11:45

Message :

[quote]

Ben je vois pas pourquoi tu m'en voudrais de quoi que ce soit . Je pourrai trés bien parler du trou de sécurité en question avec toi mais si t'as pas un minimum de niveau en progra tu comprendras pas grand chose donc je vois pas l'intérêt...

Mais un peu

.. Si tu veux voir ce que j'ai fais pour l'instant, c'est là: http://gen4net.com.rya-network.com/forum/index.php
Et ne me dis pas qu'il ressemble beaucoup à Phpbb !

comme je suis une quiche en design, j'ai temporairement repris le style de ce forum.. Mais ça devrait bientot changer. Et ce n'est qu'une préversion, comportant encore des bugs je jense..

Les infos que j'ai fournis avec le patch en indiquant qu'il s'agit d'un trou par injection est largement suffisant pour n'importe quel programmeur confirmé. Il ne lui faudra pas plus de 1mn 30 pour le trouver en comparant les deux codes et sais déjà de quoi il s'agit. A partir de là bah je pense que y'a rien d'autre à dire quoi

Je vais telecharger le forum et le patch pour zieuter

Ton phpBB est même assez souvent sujet à ce genre de choses

Mon phpBB ??

*** Message édité par flamby le 15/03/2003 10:45 ***

*** Message édité par flamby le 15/03/2003 10:46 ***

Jean-Glode Pilier www.suidzer0.org : projet décédé Enregistré le 28/04/2002 Messages: 2352 Non connecté	Ajouté le : 15/03/2003 11:54 Message : Il a du croire que ton forum ct un phpBB -- Coolforum the best forum written in PHP and MySQL --

eliphas

Habitué

Enregistré le 19/11/2002
Messages: 189
Non connecté

Ajouté le : 15/03/2003 16:15

Message :

J'ai jamais dit qu'il fallut le crier sur les toits non plus. On va mettre nos propres forum en defaut.

C'est vrai que sinon on est tous dead le lendemain et ca craint :)

275 forum en circulation et encore ce sont ceux qui sont recenses.

Moi j'en ai 3 qui tournent un pas mis a jour utilisant la version precedente et 2 autres mis a jours.

par pitié pas en phonetique

Cool Coyote Pilier Administrateur Enregistré le 26/09/2001 Messages: 2629 Non connecté	Ajouté le : 15/03/2003 16:26 Message : Message original: Jean-Glode Il a du croire que ton forum ct un phpBB non non, va voir son site, y'a bien un phpBB Merci de respecter les règles d'ajout de messages !! Avant de poser une question: [Documentation] - [FAQ] - [Recherche] Cool Coyote - Webmaster (me contacter)

colonel_freeze Pilier nemys powerrrrrrrrrrrrrr Enregistré le 12/10/2002 Messages: 1222 Non connecté	Ajouté le : 15/03/2003 16:29 Message : le coyote est observateur * Message édité par colonel_freeze le 15/03/2003 15:29 * }~~ FreeZBy ~~{

lemistral Pilier Enregistré le 30/04/2002 Messages: 1977 Non connecté	Ajouté le : 15/03/2003 16:54 Message : tout ce que je peux dire c'est que le vbulletin est une passoire en securité à partir de là ... aucun forum ne peut-etre hyper fiable, il y aura toujours des petits malins qui tenteront de le hacker... bah ... asta la vista .....

Jean-Glode

Pilier

www.suidzer0.org : projet décédé

Enregistré le 28/04/2002
Messages: 2352
Non connecté

Ajouté le : 16/03/2003 09:07

Message :

Message original: Cool Coyote

non non, va voir son site, y'a bien un phpBB

URL regardé : http://gen4net.com.rya-network.com/forum/index.php

Wala ce qu'on peut lire tout en dessous :
Ce forum (version 1.0) est proposé par Gen4Net.com en partenariat avec Grafimages.com

C pas un PhpBB c un forum de sa création, il a totalement repris le design de phpBB

Cool, il te faut des vaacnces

-- Coolforum the best forum written in PHP and MySQL --

flamby

Nouveau

Enregistré le 13/03/2003
Messages: 6
Non connecté

Ajouté le : 16/03/2003 11:35

Message :

non non, va voir son site, y'a bien un phpBB

Je ne parlais pas de ce site là

C pas un PhpBB c un forum de sa création, il a totalement repris le design de phpBB

Totalement ? faut pas abuser tout de même, tous les forums se ressemblent !

Tiens, pendant que je suis là, j'ai souvent des soucis à me connecter sur CoolForum. Je me connecte avec le bon pseudo et pass, la page se reactualise sur la page d'identification sans messeur d'erreur et c'est tout..
En plus je demande à être identifié jusqu'en 2010, mais je dois m'identifier quasiment à chaque fois.
Avant que vous me posiez la question: oui, mes cookies sans activés

Jean-Glode Pilier www.suidzer0.org : projet décédé Enregistré le 28/04/2002 Messages: 2352 Non connecté	Ajouté le : 16/03/2003 12:18 Message : Bah moi ça rulez, tu broutes avec kel browser ?? (navigateur ?) -- Coolforum the best forum written in PHP and MySQL --

flamby Nouveau Enregistré le 13/03/2003 Messages: 6 Non connecté	Ajouté le : 16/03/2003 12:19 Message : en fait je viens de m'apercevoir que le probleme ne survient que lorsque j'arrive sur le forum par la redirection msn (clique sur le lien sur le message de notification...)

Page : << < 1 | 2 > >>

<<Sujet précédent Sujet suivant>>

[Contacter l'administrateur] | [Aller sur CoolForum.net]

[12 requêtes] - [Page générée en 0.0342 secondes]