#1 2014-11-21 16:10:29

plg
Équipe Piwigo
Lieu: Nantes, France, Europe
Date d'inscription: 2002-04-05
Messages: 12175
Site web

Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Bonjour à tous les utilisateurs Piwigo !

Une importante faille de sécurité, rapportée par xd_xd, a été corrigée et à cette occasion nous sortons non pas une, ni deux, mais bien trois nouvelles versions de Piwigo !

Piwigo 2.5.5 (pour ceux bloqués avec PHP 5.1) et Piwigo 2.6.4 (pour ceux qui ne sont pas encore passés en 2.7) ne font que corriger la faille de sécurité.

La version 2.7.2, en plus de la correction de sécurité, corrige quelques bugs, voir les détails sur notes de la version Piwigo 2.7.2.

Arrêtez ce que vous étiez en train de faire et mettez tout de suite à jour votre Piwigo ! C'est l'histoire de quelques clics et moins d'une minute. La fameuse procédure de mise à jour automatique est votre amie.


Dernier billet du blog Piwigo.com (21 mars 2017) Offres Piwigo.com Entreprise, enfin officielles !

Hors ligne

#2 2014-11-21 18:33:44

marcophilie56
Membre
Date d'inscription: 2007-01-22
Messages: 169

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Bonjour
je ne vois les liens pour télécharger la 2.6.4 ou la 2.5.5
Merci d'avance
Cordialement

Hors ligne

#3 2014-11-21 18:40:13

Papaye
Invité

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Pourrait on en savoir plus sur cette faille de sécurité ? (pourquoi utiliser le mot bug ?)
Une documentation sur la faille serait la bien venue.
Y a t'il eu un audits de Piwigo dernièrement ?

Merci.

#4 2014-11-21 19:29:01

plg
Équipe Piwigo
Lieu: Nantes, France, Europe
Date d'inscription: 2002-04-05
Messages: 12175
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Bonjour marcophilie56,

marcophilie56 a écrit:

je ne vois les liens pour télécharger la 2.6.4 ou la 2.5.5

Je viens d'ajouter des liens vers les pages des 2 versions dans l'annonce. Mais en passant par la liste des versions, ça marche aussi :-)


Dernier billet du blog Piwigo.com (21 mars 2017) Offres Piwigo.com Entreprise, enfin officielles !

Hors ligne

#5 2014-11-21 19:31:52

plg
Équipe Piwigo
Lieu: Nantes, France, Europe
Date d'inscription: 2002-04-05
Messages: 12175
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Bonjour Papaye,

Papaye a écrit:

Pourrait on en savoir plus sur cette faille de sécurité ? (pourquoi utiliser le mot bug ?)

J'ai changé le mot "bug de sécurité" pour "faille de sécurité" dans le titre de l'annonce.

Pour le moment on ne donne pas de détails sur la faille, cela ne ferait que mettre en danger les utilisateurs qui tardent à mettre à jour (et puis bon, Piwigo est opensource, donc en étudiant les différences de code source, on doit pouvoir comprendre le problème... mais inutile de donner des détails dessus, merci :-).

Papaye a écrit:

Y a t'il eu un audits de Piwigo dernièrement ?

Pas spécialement non.


Dernier billet du blog Piwigo.com (21 mars 2017) Offres Piwigo.com Entreprise, enfin officielles !

Hors ligne

#6 2014-11-21 19:32:12

marcophilie56
Membre
Date d'inscription: 2007-01-22
Messages: 169

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Merci beaucoup
Bonne soirée

Hors ligne

#7 2014-11-21 19:53:51

flop25
Équipe Piwigo
Date d'inscription: 2006-07-06
Messages: 6283
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

alors les audits, soit on considère que du fait de la popularité de Piwigo, il est "audité" par des milliers de "chercheurs de failles" qui nous font des rapports de sécurité lorsqu'ils trouvent un problème, et que nous en réaction on corrige et publie rapidement des corrections (dans notre cas, du jour au lendemain) ; soit on ne considère que les audit d'entreprises spécialisées dedans, et là ce ne serait qu'un audit ponctuel coutant pas mal d'argent que nous n'avons pas.
pour info Drupal a eu une faille xss critique récemment et pourtant Drupal est le CMS n°1

Hors ligne

#8 2014-11-21 20:10:04

Papaye
Invité

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Ok, merci.

Je demandais pour justement ne pas avoir à utiliser diff et grep une partie de la soirée (je ne connais pas l’ampleur de la faille).

Il faut donc réaliser des audit perso supplémentaire sur votre code.
Oui je suis au courent pour la faille de Drupal, en même temps il est pas rare de croiser ce CMS dans les certs de l'ANSSI ...

#9 2014-11-21 20:32:14

plg
Équipe Piwigo
Lieu: Nantes, France, Europe
Date d'inscription: 2002-04-05
Messages: 12175
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Papaye, étant donné l'utilisation de l'expression "cert de l'ANSSI" j'imagine que tu es un peu connaisseur des questions de sécurité. Je te contacterai bien en privé, mais ton adresse email ne fonctionnera probablement pas. Tu peux me contacter sur <mon nom d'utilisateur sur ce forum> (à robase) <le nom de domaine de ce site>, si tu veux contribuer justement sur ces aspects de sécurité ce serait super :-)


Dernier billet du blog Piwigo.com (21 mars 2017) Offres Piwigo.com Entreprise, enfin officielles !

Hors ligne

#10 2014-11-22 10:22:36

LucMorizur
Membre
Lieu: Vienne (Isère, 38)
Date d'inscription: 2009-03-01
Messages: 1967
Site web

Hors ligne

#11 2014-11-22 17:05:52

joana
Membre
Date d'inscription: 2014-11-22
Messages: 6

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Au secoursssss
En mettant à jour la version 2.7.1 j'ai tout planté ....!!!!

Voici les messages d'erreur qui apparaissent

Warning: Function PluginMaintain::autoUpdate deprecated in /home/photop/www/pwg/include/functions_plugins.inc.php on line 81

Warning: Function PluginMaintain::autoUpdate deprecated in /home/photop/www/pwg/include/functions_plugins.inc.php on line 81

Fatal error: Call to undefined function trigger_event() in /home/photop/www/pwg/plugins/title/main.inc.php on line 132

Je ne peux plus me connecter à ma vitrine.

Merci de bien vouloir me porter de l'aide.
Cordialement,
Joana

Hors ligne

#12 2014-11-22 19:15:48

flop25
Équipe Piwigo
Date d'inscription: 2006-07-06
Messages: 6283
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

merci de
1) ouvrir un nouveau sujet
2) comme d’habitude qd on a des erreurs après mise à jour Réuploader en écrasant les fichiers existant

Hors ligne

#13 2014-11-23 00:48:59

joana
Membre
Date d'inscription: 2014-11-22
Messages: 6

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

flop25 ce message m'est-il destiné, faute de ne pas pouvoir revenir sur la page d'accueil de ma galerie et ne pas pas avoir accès à l'admin, que puis-je faire pour réparer mon problème???
Cdt

Hors ligne

#14 2014-11-23 08:24:21

ddtddt
Équipe Piwigo
Lieu: Quetigny (21) - France
Date d'inscription: 2007-07-27
Messages: 13878
Site web

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

joana a écrit:

flop25 ce message m'est-il destiné, faute de ne pas pouvoir revenir sur la page d'accueil de ma galerie et ne pas pas avoir accès à l'admin, que puis-je faire pour réparer mon problème???
Cdt

Bonjour,

Oui ce topic est pour l’annonce et pas pour gérer les problème ;-)
Vu ton message d'erreur désactive title


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#15 2014-11-23 16:35:24

Lorenzo78
Membre
Date d'inscription: 2014-03-02
Messages: 8

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Bonjour,
Je suis resté en 2.5.3 à cause de ma version de PHP. Puis-je sans danger utiliser la 2.5.5 ?
Merci pour votre réponse

Hors ligne

Pied de page des forums

Propulsé par FluxBB