Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Faille dans WordPress 3.0.4 et pas de patch pour le moment

Edit : Xavier de WordPress-fr a publié un article expliquant son point de vue sur la non dangerosité de cette faille. Sur le fond il a raison, comme je le dit, la faille s’applique uniquement aux rôles éditeurs, ce qui pour la majorité des blogs n’est pas important car il n’y a qu’un ou quelques éditeurs de confiance qui ne s’amuseront pas à exploiter cette faille. Mais il s’agit quand même bien d’une faille et pas d’une fonctionnalité d’HTML non filtré comme l’explique Xavier. On peut jouer sur les mots mais le fait est que certains plugins permettent aux internautes d’utiliser ce rôle éditeur pour par exemple soumettre des articles. Peut être avez vous aussi une relative confiance en vos éditeurs qui peuvent effectivement mettre des balises HTML non fermées et mettre un peu le basar dans la mise en page de la page (à cause de l’HTML non filtré) mais pas au point de les laisser récupérer vos infos de sessions ou d’obtenir un rôle admin (à cause de la faille XSS). Donc oui, je suis d’accord avec Xavier pour dire que peu de gens sont dans ce cas là car ils n’ont pas ces plugins et ont confiance absolue en leurs éditeurs et loin de moi l’idée de répandre la terreur dans vos chaumières ^^ mais pas d’accord pour dire que cette faille est minime et n’est qu’en fait un genre de fonctionnalité d’HTML non filtré ++. D’ailleurs si c’était le cas, WordPress n’aurait pas corrigé en urgence la faille sur la 3.0.3 et envoyé un mail dans la foulée à tout le monde pour dire de vite mettre à jour. Question de point de vue j’imagine 😉

Ce matin, je vous signalais une mise à jour vers WordPress 3.0.4 suite à une faille XSS accessible aux gens qui ont des permissions « éditeur » sur votre WordPress. La faille était assez importante si vous utilisez un WordPress participatif (avec plusieurs rédacteurs) ou des plugins de soumission d’articles comme TDO Mini Forms…etc car une personne disposant de ces droits aurait pu exploiter une telle faille.

Mais manque de bol, malgré la mise à jour, une faille similaire persiste toujours. Toutes les versions 3.0.3 et 3.04 (et probablement les précédentes) sont faillibles, et le code malicieux peut être inséré directement à partir des commentaires. Pas de patch pour le moment donc je vous recommande de désactiver les accès éditeurs des gens qui ont accès à votre site (sauf si vous avez la confiance comme dirait l’autre) et surtout de désactiver temporairement les plugins qui permettent aux internautes de vous soumettre des données en tant qu’éditeur comme TDOMF. Si vous n’êtes dans aucun de ces 2 cas de figures, pas la peine de paniquer plus que ça.

Attendez vous à une mise à jour de WordPress prochainement !

#Ouin

Merci à Paul pour l’info !


Télécharger gratuitement des vidéos et playlists YouTube, Vimeo ou Facebook

il est temps de ressortir son balladeur mp3

Grâce au freeware 4K Video Downloader vous allez pouvoir télécharger très facilement toutes vos vidéos préférées sur YouTube, Facebook, Vimeo, Dailymotion, Twitch & co, et en haute qualité (HD, 4K et 8K en résolution 1080p ou 720p).

Il prend aussi en charge les sous-titres ou encore les chaines et les playlists. Il est donc possible de télécharger une série de vidéos d’un seul coup, sans devoir les ajouter une à une. Il suffit de copier-coller un lien, plutôt pratique non ? Vous pouvez même choisir le format final des fichiers (MP4, MKV, M4A, MP3, FLV ou 3GP).

Vous pouvez même vous abonnez aux chaînes YouTube à partir de l’application pour avoir des vidéos les plus récentes téléchargées automatiquement.

Pour tester le soft c’est ici