Avis à la communauté: alerte sécurité dans FCKeditor 2.4 de la plus haute importance !

Par Cyril Sécurité

Bonjour à toutes et à tous,
Cette publication est de la plus haute importance pour tous les utilisateurs de Maximus  !!!
Un membre de la communauté a connu des déboires dû à une faille maintenant bien cernée dans FCKeditor 2.4, hier et nous en tiens au courant ce jour !
Attention, cette faille est existante aussi dans la version de FCK 2.3 fournie avec les anciennes versions de Maximus !
Une seule chose à faire et d'urgence pour tout le monde :
 - remplacer votre version actuelle de FCKeditor par la toute dernière mise à disposition il y a quelques minutes dans les ressources du site
Nous vous recommandons pour ceux qui ne le sauraient pas de suivre ces directives simples et primordiales:
 - contrôlez que le fichier kernel/config.php soit bien dans le CHMOD le plus petit possible ( 444 par exemple en lecture seule )
 - n'autorisez l'upload ( de quelque sorte que ce soit  ) qu'à des administrateurs et ou membres identifiés et jamais aux visiteurs !!!
L'upload en règle général est la plus belle arme pour défacer et/ou prendre la main sur un site internet, tous les gens utilisant une version de coppermine pour phpnuke sont bel et bien visés par ce style d'attaque, tout comme MyUpload qui est une pure passoire, nous ne le redirons jamais assez l'upload est la meilleure arme pour se mettre une balle dans le pied !!!
La dernière version en date de coppermine pour phpnuke ( 1.31 de mémoire ) qui fonctionne donc dans maximus est aussi visée, tout est faisable avec très peu de connaissances et surtout sans laisser aucune trace nul part, soyez très prudent si vous utilisez coppermine en verrouillant l'upload aux administrateurs seulement !
Une version spéciale de Coppermine dédiée pour Maximus est en cours, elle devrait être remise à l'équipe dans la journée ou demain si tout se passe bien et avec celle ci nous n'aurons pas de tel soucis, alors les utilisateurs de version phpnuke vous serez priés d'upgrader votre version sans quoi nous ne pourons rien faire pour vous assurez la sécurité optimale de votre site
Vous retrouverez désormais dans les ressources :
 - FCKEditor 2.4a patché
 - Maximus BS livré nativement avec FCK Editor 2.4a patché
Tous les utilisateurs de Maximus sont visés sans exception, ceux qui n'upgradent pas leur version de FCKeditor s'exposent, maintenant que la faille est bien cernée, à un danger de hacking permanent !!!
Pensez que d'autres que nous peuvent maintenant trouver aussi la solution pour usurper l'upload de FCKeditor, alors soyez extrêmement prudent ...
Dernière chose, toute alarme et ou toute suspicion est bonne à nous reporter !
Nous portons la plus grande importance à la sécurité de Maximus et donc de la communauté, aussi un nouveau forum va être ouvert vous permettant de reporter tout doute et ou message d'alarme douteux en provenance de votre site, beaucoup d'alertes de sentinel sont des leurres, mais certaines d'entres elles peuvent nous faire découvrir des failles potentielles, ce qui est le cas d'une alarme remontée ce jour sur les forums ( rien d'alramant actuellement - mais une faille potentielle mérite le plus grand intérêt ).
Une participation accrue sur ce point serait la bienvenue de votre part, et aidant ainsi au maintien de la sécurité de nos projets communs :)
Merci à tous et à toutes de votre participation ...
Et que la sécurité reste notre meilleur allié :)
 

Signaler une erreur