- Statut : non résolu
- Ce sujet contient 8 réponses, 4 participants et a été mis à jour pour la dernière fois par Franck (fge), le il y a 10 années et 6 mois.
-
AuteurMessages
-
3 juillet 2014 à 6 h 18 min #539378
Puisqu’on est aussi dans les failles, ces derniers jours, Korben a aussi relayé une autre faille concernant une vieille version de WordPress (3.1.4 ou plus ancienne), avec la version de disqus (2.75 ou plus ancienne) sur une veille version de PHP (5.1.6 ou plus ancienne).
Le risque se présente donc principalement pour les pages perso de Free dont la version de PHP n’est plus supportée depuis de nombreuses années et n’a pas fait l’objet de mise à jour depuis (« Il a Free, il a tout compris » ou « Merci Free »). Une raison de plus à ne plus utiliser les pages perso de Free et d’aller voir ailleurs.
Faites la mise à jour de disqus si la version de PHP permet de le faire tourner ou retirez l’extension.
Je vous invite à lire l’article à cette adresse : http://korben.info/faille-plugin-disqus-wordpress-cest-lheure-mises-jour.html
3 juillet 2014 à 10 h 12 min #959234En même temps, je ne connais personne qui s’abonne à Free pour les pages persos – de ce que j’ai vu chez Orange ou SFR, ça ne vole pas plus haut, l’hébergement perso.
3 juillet 2014 à 10 h 15 min #959235Mais je ne critique absolument pas l’info très utile qui intéresse tous ceux qui sont avec une vieille version de WP chez Free – ce qui me fait penser que ma femme et même moi-même… mais sans Disqus, ouf sauvés.
4 juillet 2014 à 5 h 08 min #959233je ne connais personne qui s’abonne à Free pour les pages persos
Il y en a encore qui installent des nouveaux sites chez Free soit en version 3.1.4 soit en version « adaptée ». Beaucoup de gens sont attirée par la gratuité des pages perso… Les hébergeurs gratuits se font plus rares…
mais sans Disqus, ouf sauvés.
Pas complètement… En fait le problème ne concerne pas uniquement disqus mais se situe également dans le codage de la fonction eval() côté PHP 5.1.6 (ou antérieure) qui n’était pas sécurisé. Vu que la version de PHP utilisée chez Free n’est plus maintenue depuis des années, cela ne fera pas l’objet de correction de ce côté. Potentiellement, le problème pourrait se présenter avec d’autres scripts utilisant cette fonction eval…
4 juillet 2014 à 5 h 39 min #959236Merci pour l’info, je transmet sur usenet.
Beaucoup de petites associations sont attirées par la gratuité des pages perso de FREE.
4 juillet 2014 à 7 h 13 min #959237Bonjour,
permettez une question de béotien.
Est-il possible, pour qui s’y connait suffisamment, de remplacer la fonction eval() obsolète par une fonction équivalente : nouvelle eval() à jour ou my_eval() ?
Ce serait bien sûr actif pour le seul site où le nouveau code est installé.4 juillet 2014 à 7 h 36 min #959238D’après le site officiel de PHP, c’est la fonction eval() en elle même qui est dangeureuse, je cite :
« Attention
La construction de langage eval() est très dangereuse car elle autorise l’exécution de code PHP arbitraire. Son utilisation est vivement déconseillée. Si vous avez soigneusement vérifié qu’il n’y a pas d’autres options que de l’utiliser, gardez une attention toute particulière à ne pas y passer de données provenant d’un utilisateur sans les avoir précédemment validées minutieusement. »PHP: eval – Manual
http://www.php.net/manual/fr/function.eval.php4 juillet 2014 à 15 h 12 min #959239Bonjour,
merci pour la précision. Toujours en apprentissage, j’apprends de tout et de tous.
5 juillet 2014 à 5 h 20 min #959240remplacer la fonction eval() obsolète par une fonction équivalente
Pour éviter ce genre de problème c’est très simple, il faut utiliser les versions supportées et a jour de PHP à ce jour 5.3.28, 5.4.30 & 5.5.14. Toute faille ou bogue détecté fait l’objet d’une correction. Il faut donc s’assurer de mettre à jour son hébergement pour ne pas rester avec de vieilles versions PHP (lorsqu’on a le choix bien sûr).
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.