Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille dans WordPress 3.0.4 et pas de patch pour le moment

Edit : Xavier de WordPress-fr a publié un article expliquant son point de vue sur la non dangerosité de cette faille. Sur le fond il a raison, comme je le dit, la faille s’applique uniquement aux rôles éditeurs, ce qui pour la majorité des blogs n’est pas important car il n’y a qu’un ou quelques éditeurs de confiance qui ne s’amuseront pas à exploiter cette faille. Mais il s’agit quand même bien d’une faille et pas d’une fonctionnalité d’HTML non filtré comme l’explique Xavier. On peut jouer sur les mots mais le fait est que certains plugins permettent aux internautes d’utiliser ce rôle éditeur pour par exemple soumettre des articles. Peut être avez vous aussi une relative confiance en vos éditeurs qui peuvent effectivement mettre des balises HTML non fermées et mettre un peu le basar dans la mise en page de la page (à cause de l’HTML non filtré) mais pas au point de les laisser récupérer vos infos de sessions ou d’obtenir un rôle admin (à cause de la faille XSS). Donc oui, je suis d’accord avec Xavier pour dire que peu de gens sont dans ce cas là car ils n’ont pas ces plugins et ont confiance absolue en leurs éditeurs et loin de moi l’idée de répandre la terreur dans vos chaumières ^^ mais pas d’accord pour dire que cette faille est minime et n’est qu’en fait un genre de fonctionnalité d’HTML non filtré ++. D’ailleurs si c’était le cas, WordPress n’aurait pas corrigé en urgence la faille sur la 3.0.3 et envoyé un mail dans la foulée à tout le monde pour dire de vite mettre à jour. Question de point de vue j’imagine 😉

Ce matin, je vous signalais une mise à jour vers WordPress 3.0.4 suite à une faille XSS accessible aux gens qui ont des permissions « éditeur » sur votre WordPress. La faille était assez importante si vous utilisez un WordPress participatif (avec plusieurs rédacteurs) ou des plugins de soumission d’articles comme TDO Mini Forms…etc car une personne disposant de ces droits aurait pu exploiter une telle faille.

Mais manque de bol, malgré la mise à jour, une faille similaire persiste toujours. Toutes les versions 3.0.3 et 3.04 (et probablement les précédentes) sont faillibles, et le code malicieux peut être inséré directement à partir des commentaires. Pas de patch pour le moment donc je vous recommande de désactiver les accès éditeurs des gens qui ont accès à votre site (sauf si vous avez la confiance comme dirait l’autre) et surtout de désactiver temporairement les plugins qui permettent aux internautes de vous soumettre des données en tant qu’éditeur comme TDOMF. Si vous n’êtes dans aucun de ces 2 cas de figures, pas la peine de paniquer plus que ça.

Attendez vous à une mise à jour de WordPress prochainement !

#Ouin

Merci à Paul pour l’info !


Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite