[Imc-france-lille] Re: [imc-france-tech] Attention! Achtung! Remote command execution dans/in SPIP 1.8.2g

neofutur william.waisse at gmail.com
Ven 10 Fév 03:58:16 PST 2006 

 tout d'abord, cette n'est pas exploitable sur 95% des configs, seules
celles qui le register_global a on, et ca le retrogod ne le dit pas
dans son "exploit"

 c'est donc plus une faille php ou une incompetence du webmaster
qu'une faille spip.

> Spip est connu comme un trou de secu plutot qu un site web. Cette alerte

 ben voyons !!!
 combien de faille de secu spip depuis 3ans ?

 bravo les jugments a l'emporte piece

> ne concerne que les 1.8, mais d autres trous vont etre reveles d ici peu
> qui affectent d autres versions (voire toutes).

 ben voyons, tu les as trouvees toi meme ces failles ?
 il n'y en a actuellement qu'une ( pour les forums ) qui est signalee
avec un delai de trois semaines avant publication.

>Les developeurices de
> Spip ne donnent pas l'impression d etre dans la dynamique de vouloir
> corriger tous ces bugs rapidement.

 ben voyons ?
 oussa ils te donnent l'impression ?
 tu es sur la mailing liste ? sur le chan IRC ?

 en general le fix est dans la svn en moins de 48h
 souvent en moins de 12h
 ce pseudo exploit est tombe hier et etait deja teste sur 20 configs
quelques heures apres.

 un ecran de securite etait commite dans le svn apres quelques heures
seulement, et etait signale sur la mailing liste spip-dev.


> Ca et le fait qu il est difficile d obtenir des mises a jour de
> spip-indy (comme pour spip 1.8 par exemple) ;], il semble que le mieux
> serait que les imcs utilisant spip envisage de changer de CMS.

 ca par contre c vrai, spip-indy est selon moi inutilisable et ca
s'arrange pas avec les nouvelles versions de spip.

> Il y a un projet de traduction d oscailt, je sais pas ou ca en est. De
> ce que j ai vu, ce CMS a l air tres bien, meme s il a peut etre beaucoup
> de fonctionnalites pas forcement tres utiles pour les indy francophones.
> SInon il existe aussi sf-active...

 eh oui le but d'une tel message ne pouvait etre que commercial et
partisan . . .

 moi franchement je suis mort de rire face a une telle partialite, on
se croirait a outreau lol


--
Cordialement
 William Waisse
  http://waisse.org | http://neoskills.com
   http://cahierspip.ww7.be | http://feeder.ww7.be

Plus d'informations sur la liste de diffusion Imc-france-lille