Nous tenons à vous alarmer d'une faille de sécurité de la plus haute importance !!!

Cette faille n'est pas dû spécialement à Maximus mais à TOUS les logiciels web ( cms ou autres )

Pour vous prémunir la seule solution viable actuellement et au plus rapide est d'INTERDIRE TOUT UPLOAD sur votre site via n'importe quel module y compris nsn gr downloads

Cette faille permet, attention, de remonter ce que l'on veut de la base de données, et même ( après différents tests ) de balancer un script de gestion de fichiers, ce qui permet de prendre la main sur le FTP !!!

Cette faille m'a été transmise ( je ne donne pas le nom actuellement car je n'ai pas demandé l'accord encore ), et j'ai personnellement testé durant un long moment ses capacités pour en découvrir un accès TOTAL au site désiré

Je le redis, cela n'est pas dédié à maximus mais à tous les CMS autorisant l'upload, ceci est plus une faille de PHP qu'autre chose, le danger est réel et sérieux, aucun utilitaire ne fera rien pour empécher le code malicieux d'être executé

Conclusion, TOUS VOS CHMOD au minimum, fermez vos uploads divers et variés y compris avatar forum !!!

Je vais tester sur un grand nombre de CMS rapidement pour confirmer mes dires mais à la vue de la facilité de l'intrusion, ce type de hack déface tout type de site

Avis est donné, prenez en l'information à la ligne, c'est un conseil ...

Heu, sans précisions aucunes ce message ne sert à rien...

Tu as testé ça sur un serveur Windows que c'est pas possible autrement, si c'est le cas.
Bah sinon, va falloir écrire à Linus Torvald hein ^^

j'ai vu cela sur le portail de maximus .......

Oui, mais sinon, quel est réellement le problème ? Que "maximus" sur google...

Pour piouPiouM: http://www.php-maximus.org/maximus_securite_attention_alerte_de_securite_du_plus_haut_niveau_88.html

Ca me parait louche une faille PHP découverte que maintenant... Ca ne serait pas plutôt un contrôle oublié dans le cms maximus ? Car si je saisis bien le sens de son message, il a trouvé une faille sur le cms maximus et affirme que cette faille serait présente sur d'autres cms. Mais peut être réside-t-elle tout simplement dans le fait que le développeur ait oublié des fonctions de filtrage ? D'ailleurs, en réponse, il précise qu'il est en train de rajouter des fonctions de filtrage... preuve que ça ne vient pas de PHP mais bien de son programme... Ou alors quelque chose m'échappe!

*** Message édité par TiGeR le 27/03/2006 23:52 ***

Si PHP faisait l'objet d'une faille de sécurité dans sa dernière version, ça se saurait, ne serait-ce que sur Nexen ou php.net. Aprés si ton hébergeur se balade avec une version de PHP pas à jour, ben là c'est sûr qu'on peut rien faire contre ça, c'est son boulot justement d'assurer la maintenance de ses serveurs.

En attendant il n'y a pas de faille critique connue dans la dernière version de PHP, donc pas de soucis