Interdire l'installation d'extensions aux administrateurs

Informations concernant la sécurité de son site Joomla! 1.0.x

Moderators: sarki, Aidan38

Forum rules
Règles du forum
Locked
User avatar
ouly
Joomla! Ace
Joomla! Ace
Posts: 1074
Joined: Sun Aug 21, 2005 9:18 pm
Contact:

Interdire l'installation d'extensions aux administrateurs

Post by ouly » Wed Aug 01, 2007 3:25 pm

Introduction

Si un administrateur peut installer des extensions, il est lui est très facile de réaliser/installer une extension de quelques lignes de code le propulsant au rang de super-administrateur.

Modifications

Permissions

Oter les permissions est une chose relativement facile. Dans le fichier /includes/gacl.class.php, commentez les lignes suivantes :

1. Installation de modules, ligne 137 :

Code: Select all

		$this->_mos_add_acl( 'administration', 'install', 'users', 'administrator', 'modules', 'all' );
2. Installation de plugins, ligne 144 :

Code: Select all

		$this->_mos_add_acl( 'administration', 'install', 'users', 'administrator', 'mambots', 'all' );
3. Installation de composants, ligne 153 :

Code: Select all

		$this->_mos_add_acl( 'administration', 'install', 'users', 'administrator', 'components', 'all' );
Correction de bug

Cependant, un bug dans Joomla! (voir ce tracker) impose la modification d'un autre fichier. Dans le fichier /administrator/modules/mod_fullmenu.php, remplacez la ligne 166 :

Code: Select all

		if ($installComponents) {
par :

Code: Select all

		if ($installComponents | $editAllComponents) {
et finalement lignes 219 à 233 :

Code: Select all

	<?php
		// Modules Sub-Menu
			if ($installModules | $editAllModules) {
	?>			_cmSplit,
				[null,'Modules',null,null,'Gestion des modules',
	<?php
				if ($editAllModules) {
	?>				['<img src="../includes/js/ThemeOffice/module.png" />', 'Modules du Site', "index2.php?option=com_modules", null, 'Gérer les modules du site'],
					['<img src="../includes/js/ThemeOffice/module.png" />', 'Modules Administrateur', "index2.php?option=com_modules&client=admin", null, 'Gérer les modules Administrateur'],
	<?php
				}
	?>			],
	<?php
			} // if ($installModules | $editAllModules)
		} // if $installComponents
par :

Code: Select all

	<?php
		} // if ($installComponents | $editAllComponents)
		// Modules Sub-Menu
		if ($installModules | $editAllModules) {
	?>			_cmSplit,
				[null,'Modules',null,null,'Gestion des modules',
	<?php
			if ($editAllModules) {
	?>				['<img src="../includes/js/ThemeOffice/module.png" />', 'Modules du Site', "index2.php?option=com_modules", null, 'Gérer les modules du site'],
					['<img src="../includes/js/ThemeOffice/module.png" />', 'Modules Administrateur', "index2.php?option=com_modules&client=admin", null, 'Gérer les modules Administrateur'],
	<?php
			}
	?>			],
	<?php
		} // if ($installModules | $editAllModules)
Version

Effectué sur la version 1.0.13 de Joomla!

smarteens
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Wed Nov 19, 2008 12:50 pm

Re: Interdire l'installation d'extensions aux administrateurs

Post by smarteens » Wed Nov 19, 2008 12:52 pm

Salut,

Existerait il une solution de ce genre pour la version 1.5 ?

Merci

User avatar
ouly
Joomla! Ace
Joomla! Ace
Posts: 1074
Joined: Sun Aug 21, 2005 9:18 pm
Contact:

Re: Interdire l'installation d'extensions aux administrateurs

Post by ouly » Sat Nov 29, 2008 9:54 am

Bonjour smarteens,
Probablement. Etant encore principalement sur J! 1.0.x, je ne peux pas vous dire exactement où cela se trouve dans J! 1.5.x...

Ce qui est important dans les modifications ci-dessus est la partie permissions. Cherchez le fichier contenant les ACLs de J! 1.5.x et modifiez-les de la même manière.

ouly


Locked

Return to “1.0 - Sécurité”