Piwigo.org

plg · 2014-11-21 16:10:29

Bonjour à tous les utilisateurs Piwigo !

Une importante faille de sécurité, rapportée par xd_xd, a été corrigée et à cette occasion nous sortons non pas une, ni deux, mais bien trois nouvelles versions de Piwigo !

Piwigo 2.5.5 (pour ceux bloqués avec PHP 5.1) et Piwigo 2.6.4 (pour ceux qui ne sont pas encore passés en 2.7) ne font que corriger la faille de sécurité.

La version 2.7.2, en plus de la correction de sécurité, corrige quelques bugs, voir les détails sur notes de la version Piwigo 2.7.2.

Arrêtez ce que vous étiez en train de faire et mettez tout de suite à jour votre Piwigo ! C'est l'histoire de quelques clics et moins d'une minute. La fameuse procédure de mise à jour automatique est votre amie.

marcophilie56 · 2014-11-21 18:33:44

Bonjour
je ne vois les liens pour télécharger la 2.6.4 ou la 2.5.5
Merci d'avance
Cordialement

Papaye · 2014-11-21 18:40:13

Pourrait on en savoir plus sur cette faille de sécurité ? (pourquoi utiliser le mot bug ?)
Une documentation sur la faille serait la bien venue.
Y a t'il eu un audits de Piwigo dernièrement ?

Merci.

plg · 2014-11-21 19:29:01

Bonjour marcophilie56,

marcophilie56 a écrit:
je ne vois les liens pour télécharger la 2.6.4 ou la 2.5.5

Je viens d'ajouter des liens vers les pages des 2 versions dans l'annonce. Mais en passant par la liste des versions, ça marche aussi :-)

plg · 2014-11-21 19:31:52

Bonjour Papaye,

Papaye a écrit:
Pourrait on en savoir plus sur cette faille de sécurité ? (pourquoi utiliser le mot bug ?)

J'ai changé le mot "bug de sécurité" pour "faille de sécurité" dans le titre de l'annonce.

Pour le moment on ne donne pas de détails sur la faille, cela ne ferait que mettre en danger les utilisateurs qui tardent à mettre à jour (et puis bon, Piwigo est opensource, donc en étudiant les différences de code source, on doit pouvoir comprendre le problème... mais inutile de donner des détails dessus, merci :-).

Papaye a écrit:
Y a t'il eu un audits de Piwigo dernièrement ?

Pas spécialement non.

marcophilie56 · 2014-11-21 19:32:12

Merci beaucoup
Bonne soirée

flop25 · 2014-11-21 19:53:51

alors les audits, soit on considère que du fait de la popularité de Piwigo, il est "audité" par des milliers de "chercheurs de failles" qui nous font des rapports de sécurité lorsqu'ils trouvent un problème, et que nous en réaction on corrige et publie rapidement des corrections (dans notre cas, du jour au lendemain) ; soit on ne considère que les audit d'entreprises spécialisées dedans, et là ce ne serait qu'un audit ponctuel coutant pas mal d'argent que nous n'avons pas.
pour info Drupal a eu une faille xss critique récemment et pourtant Drupal est le CMS n°1

Papaye · 2014-11-21 20:10:04

Ok, merci.

Je demandais pour justement ne pas avoir à utiliser diff et grep une partie de la soirée (je ne connais pas l’ampleur de la faille).

Il faut donc réaliser des audit perso supplémentaire sur votre code.
Oui je suis au courent pour la faille de Drupal, en même temps il est pas rare de croiser ce CMS dans les certs de l'ANSSI ...

plg · 2014-11-21 20:32:14

Papaye, étant donné l'utilisation de l'expression "cert de l'ANSSI" j'imagine que tu es un peu connaisseur des questions de sécurité. Je te contacterai bien en privé, mais ton adresse email ne fonctionnera probablement pas. Tu peux me contacter sur <mon nom d'utilisateur sur ce forum> (à robase) <le nom de domaine de ce site>, si tu veux contribuer justement sur ces aspects de sécurité ce serait super :-)

LucMorizur · 2014-11-22 10:22:36

Merci à tous :-) !

joana · 2014-11-22 17:05:52

Au secoursssss
En mettant à jour la version 2.7.1 j'ai tout planté ....!!!!

Voici les messages d'erreur qui apparaissent

Warning: Function PluginMaintain::autoUpdate deprecated in /home/photop/www/pwg/include/functions_plugins.inc.php on line 81

Warning: Function PluginMaintain::autoUpdate deprecated in /home/photop/www/pwg/include/functions_plugins.inc.php on line 81

Fatal error: Call to undefined function trigger_event() in /home/photop/www/pwg/plugins/title/main.inc.php on line 132

Je ne peux plus me connecter à ma vitrine.

Merci de bien vouloir me porter de l'aide.
Cordialement,
Joana

flop25 · 2014-11-22 19:15:48

merci de
1) ouvrir un nouveau sujet
2) comme d’habitude qd on a des erreurs après mise à jour Réuploader en écrasant les fichiers existant

joana · 2014-11-23 00:48:59

flop25 ce message m'est-il destiné, faute de ne pas pouvoir revenir sur la page d'accueil de ma galerie et ne pas pas avoir accès à l'admin, que puis-je faire pour réparer mon problème???
Cdt

ddtddt · 2014-11-23 08:24:21

joana a écrit:
flop25 ce message m'est-il destiné, faute de ne pas pouvoir revenir sur la page d'accueil de ma galerie et ne pas pas avoir accès à l'admin, que puis-je faire pour réparer mon problème???
Cdt

Bonjour,

Oui ce topic est pour l’annonce et pas pour gérer les problème ;-)
Vu ton message d'erreur désactive title

Lorenzo78 · 2014-11-23 16:35:24

Bonjour,
Je suis resté en 2.5.3 à cause de ma version de PHP. Puis-je sans danger utiliser la 2.5.5 ?
Merci pour votre réponse

Piwigo.org

Annonce

#1 2014-11-21 16:10:29

Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#2 2014-11-21 18:33:44

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#3 2014-11-21 18:40:13

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#4 2014-11-21 19:29:01

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

marcophilie56 a écrit:

#5 2014-11-21 19:31:52

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Papaye a écrit:

Papaye a écrit:

#6 2014-11-21 19:32:12

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#7 2014-11-21 19:53:51

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#8 2014-11-21 20:10:04

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#9 2014-11-21 20:32:14

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#10 2014-11-22 10:22:36

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#11 2014-11-22 17:05:52

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#12 2014-11-22 19:15:48

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#13 2014-11-23 00:48:59

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

#14 2014-11-23 08:24:21

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

joana a écrit:

#15 2014-11-23 16:35:24

Re: Piwigo 2.7.2, 2.6.4, 2.5.5, faille de sécurité

Pied de page des forums