NPDS : Gestion de contenu et de communauté
Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
50 visiteur(s) et 0 membre(s) en ligne.
Autres infos
Activité du Site
Pages vues depuis 25/05/2001 : 109 378 183
- Nb. de membres 8 696
- Nb. d'articles 1 695
- Nb. de forums 26
- Nb. de sujets 8
- Nb. de critiques 92
Index du forum »» Sécurité »» [Résolu] - Admin / ovh / résultat patch
[Résolu] - Admin / ovh / résultat patch#8847
6Contributeur(s)
3 Modérateur(s)
danbab
Salut everybody,
J'ai appliqué le patch de dev (que je remercie au passage !)
Tout a l'air de fonctionner pour l'admin sauf :-? ... la modif des blocs. Au moment de valider, on tombe sur "page inexistante"
J'ai une bidouille mal fairte, ou c'est pareil pour tout le monde ?
Merci ;-)
danbab
J'ai appliqué le patch de dev (que je remercie au passage !)
Tout a l'air de fonctionner pour l'admin sauf :-? ... la modif des blocs. Au moment de valider, on tombe sur "page inexistante"
J'ai une bidouille mal fairte, ou c'est pareil pour tout le monde ?
Merci ;-)
danbab
developpeur
Non le patch fait son boulot mais reste quelque endroit qui continu à ne pas marcher.
Je sortirais un patch définitif (mais plus complexe) Lundi soir je pense ... il est déjà en test et semble marcher correctement
Je sortirais un patch définitif (mais plus complexe) Lundi soir je pense ... il est déjà en test et semble marcher correctement
Anonyme
Je confirme qu'on tombe bien sur une erreur 404 (page inexistante)
... Mais la modif est quand même prise en compte. Suffit de rafraichir. Pb de cache ?
Mais bon l'essentiel est de parvenir à ses fins... J'attends lundi impatiemment
... Mais la modif est quand même prise en compte. Suffit de rafraichir. Pb de cache ?
Mais bon l'essentiel est de parvenir à ses fins... J'attends lundi impatiemment
snipe
pas de cache, mais pb de header(location:admin.php);
dans le script php, la modif actuel peut rien contre ca. mais c apres les modification donc ca empeche pas de fonctioner :)
dans le script php, la modif actuel peut rien contre ca. mais c apres les modification donc ca empeche pas de fonctioner :)
kmikze
Bonjour tout le monde,
OVH a arrete la redirection des admin.php (ils ont du se faire souffler dans les feuilles par beaucoup de monde !)
ci dessous mail message diffuser dans la Mailing-List HOSTING:
"Salut,
Visiblement le fait de bloquer admin.php a fait evoluer les
mentalitées des developpeurs qui proposent les scripts php en
opensource. D'un côte sur le fait qu'ils proposent des outils
qui peuvent être dangereux pour les utilisateurs mais aussi pour
les hébergeurs. Vous pouvez lire notre guide pour se rendre compte
ce qu'on peut en faire. Les bugs de securité ça peut arriver.
Ne pas l'avoir imaginé c'est une grosse erreur. Et donc par
exemple mettre admin.php dans le repertoire principal avec les
autres scripts c'est rendre plus difficile sa protection avec
.htaccess. C'est une grosse erreur. Pourquoi ne pas mettre par
défaut un .htaccess dans l'outil ? On espere que la situation
va evoluer rapidement dans les semaines et mois à venir.
Et donc nous avons décidé de mettre en place rapidement un autre
type de solution. Elle n'est pas parfaite mais on va prendre le
risque. Désormais une attaque, comme nous avons subit, sera annulée
tout simplement. Les sites qui possedent une vulneratibilitée avec
admin.php et pourront à nouveau se faire hacker, effacer, deffacer.
Les attaques pourront être à nouveau être lancés mais le systeme
saura l'annuler.
On ne repetera jamais assez:
Mettez à jour vos scripts ET protegez avec .htaccess l'accès à
admin.php
La redirections d'admin.php vers no.hack.allowed.ovh.com a été enlevée.
C'est aux developpeurs maintenant d'être sensible et proposer des
scripts avec des autoprotections.
Nous avons mis à jour plusieurs fois aujourd'hui le noyau à jour et
nous avons rebooté l'ensemble de 300 machines de l'hébergement
mutualisé. Nous n'avons pas enregistré d'indisponibilitée des plans.
Bon week-end à tous.
Amicalement
Octave
"
Voila donc pour le moment on peut retourner à nos bonnes vieilles pages Admin.php.
OVH a arrete la redirection des admin.php (ils ont du se faire souffler dans les feuilles par beaucoup de monde !)
ci dessous mail message diffuser dans la Mailing-List HOSTING:
"Salut,
Visiblement le fait de bloquer admin.php a fait evoluer les
mentalitées des developpeurs qui proposent les scripts php en
opensource. D'un côte sur le fait qu'ils proposent des outils
qui peuvent être dangereux pour les utilisateurs mais aussi pour
les hébergeurs. Vous pouvez lire notre guide pour se rendre compte
ce qu'on peut en faire. Les bugs de securité ça peut arriver.
Ne pas l'avoir imaginé c'est une grosse erreur. Et donc par
exemple mettre admin.php dans le repertoire principal avec les
autres scripts c'est rendre plus difficile sa protection avec
.htaccess. C'est une grosse erreur. Pourquoi ne pas mettre par
défaut un .htaccess dans l'outil ? On espere que la situation
va evoluer rapidement dans les semaines et mois à venir.
Et donc nous avons décidé de mettre en place rapidement un autre
type de solution. Elle n'est pas parfaite mais on va prendre le
risque. Désormais une attaque, comme nous avons subit, sera annulée
tout simplement. Les sites qui possedent une vulneratibilitée avec
admin.php et pourront à nouveau se faire hacker, effacer, deffacer.
Les attaques pourront être à nouveau être lancés mais le systeme
saura l'annuler.
On ne repetera jamais assez:
Mettez à jour vos scripts ET protegez avec .htaccess l'accès à
admin.php
La redirections d'admin.php vers no.hack.allowed.ovh.com a été enlevée.
C'est aux developpeurs maintenant d'être sensible et proposer des
scripts avec des autoprotections.
Nous avons mis à jour plusieurs fois aujourd'hui le noyau à jour et
nous avons rebooté l'ensemble de 300 machines de l'hébergement
mutualisé. Nous n'avons pas enregistré d'indisponibilitée des plans.
Bon week-end à tous.
Amicalement
Octave
"
Voila donc pour le moment on peut retourner à nos bonnes vieilles pages Admin.php.
PSTL
A noter dans le patch un truc qui a été pour moi particulièrement galère l'envoi de la LNL !!
A chque tranche de 50 j'avais la redirection vers la page antihack qui m'obligé à faire copier coller de l'URL permettant d'envoi par paquet en substituant le bout de ligne qui envoi vers cette page par celle de mon site
... vous pouvez imaginer le temps que ca m'a pris
A chque tranche de 50 j'avais la redirection vers la page antihack qui m'obligé à faire copier coller de l'URL permettant d'envoi par paquet en substituant le bout de ligne qui envoi vers cette page par celle de mon site
... vous pouvez imaginer le temps que ca m'a pris