Bonjour a tous,

Un rapide état des lieux du code source de XOOPS et de ses modules associés :

48 failles de sécurité (XOOPS et modules) ont été découvertes jusqu'à présent.
C'est un très bon score vu l'ampleur des codes, leurs origines et la complexité de certains modules.
Ces failles, ou vulnérabilités, permettent à un attaquant de faire à peu près ce qu'il veut.

142 failles de programmation (Modules) on été trouvées et permettent de faire ce que l'on appelle des dénis de services sur les applications, empechant les visiteurs de se connecter

6 failles de sécurité (Modules) ont été trouvées permettant de voir le code des applications et de les modifier en ligne, c'est a dire en étant connecté à l'application.

Le reporting complet n'est pas encore fini.
Nous avons fait à peu près 60%du travail.
Il sera remis en ligne sur notre site (www.venesege.com) et distribué aux autres sites XOOPS dont FRXOOPS.FR et en francais.

Salutations.

Salut,

je suppose que tu vas officialiser tes trouvailles selon les usages du net, à savoir : contacter l'éditeur du produit (en l'occurence xoops.org), attendre sa réponse, décider en commun d'une publication de l'info (généralement après qu'elle ait été corrigée...) ?

marco

:-o ca fait beaucoup ca quand même... :-o :-o

hum. cela me parait beaucoup....

Il est en revanche très important de ne pas diffuser les "exploits" navré d'appeler cela comme cela mais c'est le terme consacré, a d'autres personnes qu'aux auteurs des modules ou encore a la team frxoops ou xoops. Le fait d'évoquer une ligne de code ou qque chose du genre aide les personnes malhonnetes a reussir leur forfait

C'est un fait, oui, il y a beaucoup de failles mais :

- Certaines ne peuvent être exploités que sous certaines conditions qu'un jeune "boutonneux de 15 ans" ne saura pas forcement faire.
- Certaines autres ne peuvent être le fruit que d'une attaque en locale et non distante.

Evidemment, oui bien sur, les failles ne seront pas en ligne...nous ne sommes pas fous...enfin pas encore
Ce que je voulais dire c'était simplement que le rapport sera mis sur le site, en ne citant que les grandes lignes de notre analyse, les moyens mis en oeuvres et les tests effectués.
En aucun cas les "exploits" ne seront divulgués.
Seul les personnes identifiés travaillant pour XOOPS auront le droit d'etre informés du contenu dangeureux.

En esperant vous avoir enlever vos craintes.

Amicalement.

Salut,

Avez vous une idée de la date de fin prévue (ou prévisible) de la fin de vos tests ?

A+
Hervé

Salut,

La fin du test est prevue pour fin de semaine prochaine ou fin du mois.
Tout depend de certains de nos clients qui nous donnent, parfois, de fortes charges de travail.

Saludos.

Cherault,

t'as des news ?
marco

Ah oui au fait, ca donne quoi ?

pas de news ?
marco