extensions.Siliana.com

Accueil arrow Blog arrow Mise à jour de sécurité : 23 octobre 2007
Advertisement
Mise à jour de sécurité : 23 octobre 2007

Bonjour,

Ce matin, après que des utilisateurs aient signalé un piratage de leur site, les fichiers log qu'ils m'ont transmis m'ont permis de mettre en évidence une vulnerabilité dans les versions u, t et w de mon composant d'URL Rewriting, sh404SEF. Dans certaines circonstances, l'inclusion de code distant était possible. Je présente mes plus plates excuses pour cette erreur de codage aux webmasters qui ont du souffrir d'un piratage de ce fait.

J'ai mis à disposition des fichiers corrigés à cette adresse : Joomlacode .

Voici les détails pratiques :

A - Si vous utilisez une version 1.2.4.s ou plus ancienne, il n'y pas de vulnerabilité, et vous n'avez aucune action à entreprendre.


B - Si vous utilisez une version 1.2.4.t ou 1.2.4.u, vous devez appliquer un correctif :
  1 - téléchargez le fichier approprié pour votre version depuis Joomlacode (sef404_t2.zip pour version 1.2.4.t, ou sef404_u2.zip pour version 1.2.4.u)
  2 - dé-zippez ce fichier sur votre ordinateur. Vous obtiendrez un fichier sef404.php
  3 - Envoyez par FTP ce fichier dans le dossier /components/com_sef de votre site, en remplaçant le fichier actuel
 
C - Si vous utilisez une version 1.2.4.w, vous pouvez soit appliquer un correctif, soit remplacer complètement par la version w2 qui est maintenant disponible:

Application d'un correctif :
  1 - téléchargez le fichier approprié depuis Joomlacode (sef404_w2.zip)
  2 - dé-zippez ce fichier sur votre ordinateur. Vous obtiendrez un fichier sef404.php
  3 - Envoyez par FTP ce fichier dans le dossier /components/com_sef de votre site, en remplaçant le fichier actuel
 
Installation nouvelle version w2 :
  1 - Téléchargez cette nouvelle version 1.2.4.w2, depuis  Joomlacode (http://joomlacode.org/gf/project/sh404sef/frs/?action=FrsReleaseBrowse&frs_package_id=313)
  2 - au moyen de l'installateur de composant de Joomla, DES-installez la version w actuelle de votre site
  3 - toujours au moyen de l'installateurde Joomla, installez la nouvelle version w2
  Au cours de cette opération, tous les paramètres et URL seront conservés automatiquement
 
Je publierai très rapidement la prochaine version de sh404SEF, qui inclut de nouvelles fonctions de sécurité, visant notamment à empécher ce genre de problème, aussi bien pour sh404SEF que pour les autres composants installés sur votre site
En attendant, j'espère que les dégats seront aussi limités que possible, et j'essaierai d'être aussi disponible que possible sur http:/:extensions.siliana.net pour vous aider dans les mises à jour si cela est nécessaire

Sincèrement votre
shumisha

commentaires
Thomas - Thx 27-10-2007 07:05
Thanks for the fast reaction
Thomas
http://www.mtw-office.de
Greg Miller - Thanks for the update! 27-10-2007 12:42
...and the clear details on how to patch it. Thanks.

-Greg
Jason - Patching for Older Version 03-11-2007 13:08
I wanted to know what practice you recommend for patching from version Q. I maintain quite a few sites, and one in particular that has a lot of links. I wanted to know the best practice for installing without uninstalling first.
Popoli - Newsletter 09-11-2007 09:27
Super merci.
L'inscription à une newsletter serait sympa pour avoir cette information notamment concernant cet excellent composant ;-)
phenixgraph - merci 10-11-2007 16:49
merci shumisha, j'espère ne plus avoir de visites non désirées
Seul les utilisateurs enregistrés peuvent écrire un commentaire!