Faille disqus sur versions périmées de WordPress & PHP (Créer un compte)

  • Statut : non résolu
9 sujets de 1 à 9 (sur un total de 9)
  • Auteur
    Messages
  • #539378
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Puisqu’on est aussi dans les failles, ces derniers jours, Korben a aussi relayé une autre faille concernant une vieille version de WordPress (3.1.4 ou plus ancienne), avec la version de disqus (2.75 ou plus ancienne) sur une veille version de PHP (5.1.6 ou plus ancienne).

    Le risque se présente donc principalement pour les pages perso de Free dont la version de PHP n’est plus supportée depuis de nombreuses années et n’a pas fait l’objet de mise à jour depuis (« Il a Free, il a tout compris » ou « Merci Free »). Une raison de plus à ne plus utiliser les pages perso de Free et d’aller voir ailleurs.

    Faites la mise à jour de disqus si la version de PHP permet de le faire tourner ou retirez l’extension.

    Je vous invite à lire l’article à cette adresse : http://korben.info/faille-plugin-disqus-wordpress-cest-lheure-mises-jour.html

    #959234
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    En même temps, je ne connais personne qui s’abonne à Free pour les pages persos – de ce que j’ai vu chez Orange ou SFR, ça ne vole pas plus haut, l’hébergement perso.

    #959235
    Li-An
    Participant
    Maître WordPress
    28491 contributions

    Mais je ne critique absolument pas l’info très utile qui intéresse tous ceux qui sont avec une vieille version de WP chez Free – ce qui me fait penser que ma femme et même moi-même… mais sans Disqus, ouf sauvés.

    #959233
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    je ne connais personne qui s’abonne à Free pour les pages persos

    Il y en a encore qui installent des nouveaux sites chez Free soit en version 3.1.4 soit en version « adaptée ». Beaucoup de gens sont attirée par la gratuité des pages perso… Les hébergeurs gratuits se font plus rares…

    mais sans Disqus, ouf sauvés.

    Pas complètement… En fait le problème ne concerne pas uniquement disqus mais se situe également dans le codage de la fonction eval() côté PHP 5.1.6 (ou antérieure) qui n’était pas sécurisé. Vu que la version de PHP utilisée chez Free n’est plus maintenue depuis des années, cela ne fera pas l’objet de correction de ce côté. Potentiellement, le problème pourrait se présenter avec d’autres scripts utilisant cette fonction eval…

    #959236
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    Merci pour l’info, je transmet sur usenet.

    Beaucoup de petites associations sont attirées par la gratuité des pages perso de FREE.

    #959237
    C_Lucien
    Modérateur
    Maître WordPress
    5115 contributions

    Bonjour,

    permettez une question de béotien.
    Est-il possible, pour qui s’y connait suffisamment, de remplacer la fonction eval() obsolète par une fonction équivalente : nouvelle eval() à jour ou my_eval() ?
    Ce serait bien sûr actif pour le seul site où le nouveau code est installé.

    #959238
    luciole135
    Participant
    Maître WordPress
    13714 contributions

    D’après le site officiel de PHP, c’est la fonction eval() en elle même qui est dangeureuse, je cite :
    « Attention
    La construction de langage eval() est très dangereuse car elle autorise l’exécution de code PHP arbitraire. Son utilisation est vivement déconseillée. Si vous avez soigneusement vérifié qu’il n’y a pas d’autres options que de l’utiliser, gardez une attention toute particulière à ne pas y passer de données provenant d’un utilisateur sans les avoir précédemment validées minutieusement. »

    PHP: eval – Manual
    http://www.php.net/manual/fr/function.eval.php

    #959239
    C_Lucien
    Modérateur
    Maître WordPress
    5115 contributions

    Bonjour,

    merci pour la précision. Toujours en apprentissage, j’apprends de tout et de tous.

    #959240
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    remplacer la fonction eval() obsolète par une fonction équivalente

    Pour éviter ce genre de problème c’est très simple, il faut utiliser les versions supportées et a jour de PHP à ce jour 5.3.28, 5.4.30 & 5.5.14. Toute faille ou bogue détecté fait l’objet d’une correction. Il faut donc s’assurer de mettre à jour son hébergement pour ne pas rester avec de vieilles versions PHP (lorsqu’on a le choix bien sûr).

9 sujets de 1 à 9 (sur un total de 9)
  • Vous devez être connecté pour répondre à ce sujet.