[Important] Mise à jour de sécurité pour la 0.9.1

7,075 Posts

davidm Reply #1, 18 years ago

Traduction du post publié aujourd’hui par NetNoise :

Cette version de document.parser.inc.php règles des problèmes de sécurité important.
Merci de mettre à jour votre installation de MODx 0.9.1 au plus vite.

Comment patcher

Ouvrir manager/includes/document.parser.class.inc.php dans un éditeur de texte et remplacer la fonction "getDocumentIdentifier" par le code ci-dessous :

  
function getDocumentIdentifier($method) {
    // function to test the query and find the retrieval method
    $docIdentifier= $this->config['site_start'];
    switch($method) {
      case "alias" :
        $docIdentifier= $this->db->escape($_REQUEST['q']);
      break;
      case "id" :
        if(!is_numeric($_REQUEST['id'])) {
          $this->messageQuit("ID passed in request is NaN!");
        } else {
          $docIdentifier= intval($_REQUEST['id']);
        }
      break;
      default :
      break;
    }
    return $docIdentifier;
  }

.: COO - Commerce Guys - Community Driven Innovation :.

MODx est l'outil id

711 Posts

Yogui3 Reply #2, 18 years ago

Merci davidm de faire partager cette info hautement importante au non anglophone

Sorry for my english. I'm french... My dictionary is near me, but it's only a dictionary !

7,075 Posts

davidm Reply #3, 18 years ago

:)

Je l’ai fait tout de suite, parceque quand il s’agit de sécurité, ce serait dommage de passer à côté... je ne voudrai pas que MODx ai la réputation d’un gruyère !

.: COO - Commerce Guys - Community Driven Innovation :.

MODx est l'outil id

711 Posts

Yogui3 Reply #4, 18 years ago

Aurais tu des informations sur les vulnérabilités patchés ?
Un peu sujet mais je me disais que ce serait peut être utile de proposer modx sur www.secunia.com. Qu’en penses tu ? De mon point de vu, je pense qu’il est souhaitable d’attendre la version 0.9.9, la dernière version avant l’officielle, de sorte à ce que la 1.0 soit au top. Non ?

Sorry for my english. I'm french... My dictionary is near me, but it's only a dictionary !

826 Posts

marc Reply #5, 18 years ago

Waou !! Très important ce post.
Je mets à jour tous mes sites dès maintenant.

Tu as raison David de ne pas laisser ce type d’info de coté.

Marc
I'm French... Sorry for my bad English, I use ' Google Translator' or other... but that remains that tools wink

7,075 Posts

davidm Reply #6, 18 years ago

Quote from: Guillaume at Apr 18, 2006, 04:17 PM

Aurais tu des informations sur les vulnérabilités patchés ?

J’avoue que je n’ai pas eu le temps de lire le post de Timon (NetNoise) sur les forums de l’équipe projet... mais je vais le faire.

Sinon, pour info, la 0.9.5 (prochaine release) comportera pas mal de patch sécurité (moins critiques mais qui vont sécuriser MODx et l’amener au niveau des meilleurs CMS opensource).

Quote from: Guillaume

Un peu sujet mais je me disais que ce serait peut être utile de proposer modx sur www.secunia.com. Qu’en penses tu ? De mon point de vu, je pense qu’il est souhaitable d’attendre la version 0.9.9, la dernière version avant l’officielle, de sorte à ce que la 1.0 soit au top. Non ?

Excellente idée !
Je pense que vu ce que j’ai dit sur la 0.9.5, ça pourrait se faire après la prochaine release : l’avantage sera aussi que notre code sera "audité" par plus de personnes pointues en matière de sécurité...

Je vais poster qq chose sur les forums de l’équipe MODx en faisant part de ta suggestion, je pense que Timon (NetNoise) pourra dire ce qu’il est plus pertinent de faire. Aussi, mettre les fondateurs dans la boucle est une bonne idée

Merci !

.: COO - Commerce Guys - Community Driven Innovation :.

MODx est l'outil id

711 Posts

Yogui3 Reply #7, 18 years ago

Quote from: davidm at Apr 19, 2006, 07:19 AM

Je vais poster qq chose sur les forums de l’équipe MODx en faisant part de ta suggestion, je pense que Timon (NetNoise) pourra dire ce qu’il est plus pertinent de faire. Aussi, mettre les fondateurs dans la boucle est une bonne idée

La sécurité est de plus en plus demandée et importante. Sans une grande sécurité Modx ne prendra son envol comme prévu. J’avais commencé à faire quelque tests mais je suis loin d’être un expert,d’où ma pensée à secunia wink

Comme sécunia est une société, je ne sais pas si c’est payant ou non pour s’inscrire. Sinon, ne faissant pas partie de la "team" je n’aurai pas fait la demande moi même. De plus, je pense qu’effectivement, toute la team doit être au courant et donner son avis (fondateur, testeurs, developpeurs, etc...)

Sorry for my english. I'm french... My dictionary is near me, but it's only a dictionary !

7,075 Posts

davidm Reply #8, 18 years ago

En fait, j’ai parlé de ta suggestion à Timon aujourd’hui et aussi à l’équipe, et tiens toi bien, MODx est déjà listé sur Secunia !

http://secunia.com/product/9369/

Tu as d’ailleurs plus d’info sur le patch :
http://secunia.com/advisories/19645/

Par contre, d’après Timon le rapport de Rusydi Hasan M est inexact... Timon vient de soumettre une requête pour correction de ce rapport...

Don’t worry en tout cas, la prochaine release va donner du fil à retordre aux hackers...

.: COO - Commerce Guys - Community Driven Innovation :.

MODx est l'outil id

711 Posts

Yogui3 Reply #9, 18 years ago

Bizard tout ça.... j’ai fait une recherche il y a 1 semaine environ sur secunia et pas moyen de le trouver... l’essentiel est qu’il y soit

Sorry for my english. I'm french... My dictionary is near me, but it's only a dictionary !

7,075 Posts

davidm Reply #10, 18 years ago

Quelqu’un a du le soumettre entre temps, voilà tout...

.: COO - Commerce Guys - Community Driven Innovation :.

MODx est l'outil id