[Remplacé par patch 0.9.2.2] Correctif de sécurité MODx 0.9.x !#

VOIR ce sujet, ce correctif était un patch d'urgence.

Suite à une faille rapportée par Sebiseb puis par Banzai en fin d'après-midi, il existe une faille de sécurité dans le gestionnaire de fichier de FCK qu'utilise MODx si votre serveur est configuré avec register_globals sur ON. Si celui-ci est sur OFF, vous pouvez ignorer cette alerte. (*)

Merci de télécharger la version modifiée du fichier concerné ou d'ajouter les lignes suivantes en tête du fichier Thumbnail.php dans /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php:



(*) Pour vérifier ce point :
Jusqu'à la 0.9.2.1 allez dans Administration > Afficher Infos Systèmes > View et consultez les détails de votre config php
pour la 0.9.5 allez dans Rapport > Afficher Infos Systèmes > View et consultez les détails de votre config php

mon site a été hacké hier matin, et ce fameux fichier Thumbnail.php contient :


... me suis fait hacké ........ ( pas grave c'est juste 2 fichiers index.php remplacés mais j'ai quand meme bien flippé mdrr )

David,

y a t'il un moyen de prévenir les membres enregistrés du forum de cette faille.
Je ne connais pas du tout les fonctionnalités du forum mais ne serait il pas bienvenue d'envoyer un mail à chaque personne enregistrée ?
Certainement nombre d'entre eux ne passe pas sur le forum de façon régulière et risque potentiellement d'être la cible d'un "Jean kevin"

:-)

Le correctif est-il inclus dans la RC 0.9.5 ?

Helio : bonne idée. Je pense que SMF est pourvu d'un tel outil en plus.

Bonjour,

Le correctif est dans la version 0.9.5 depuis la version 1097.

Cordialement

Je me suis fait hacker hier soir.

les dégâts sont importants ? moi c'est juste 2 fichierx index.php qui ont été remplacés, si toi aussi tu copie/colle un fichier index.php tout neuf que du dl sur le site, ( les fichiers index.php ne sont pas modifiés par l'utilisation de modx, celui qui a disparu suite au hack et le même que celui que tu trouveras dans un modx.zip tout neuf )

Ah non rien de grave j'etais en ligne.
Par contre il a tenté d'installer leur merde de spam...

Pour répondre à la question d'envoi automatisé : oui je pense que c'est possible mais il faut passer par un admin du forum, c'est à dire Zi ou Ryan.

A ceux qui se sont fait hacker : que font les hébergeurs mutualisés ?

C'est quand même dingue de laisser register_globals sur ON (même si je sais que certaines applications mal codées requièrent ce genre de setup...) !

@Aour : tu veux dire rev 1907

Ma page d'accueil a été hacké. Il on pas perdu de temps pour exploiter la faille. >
Il faut vraiment prévenir tout le monde. Je trouve que la visibilité est faible il faudrait que cela soit indiqué dans sur la page d'accueil de modxcms.

Une bonne idée que je vais soumettre c'est d'avoir dans le gestionnaire un cadre réservée à des messages venant du site officielle de MODx (comme dans l'administration de SMF)