JCal Pro 1.5.3 - Faille de sécurité

Informations concernant la sécurité de son site Joomla! 1.0.x

Moderators: sarki, Aidan38

Forum rules
Règles du forum
Locked
User avatar
ouly
Joomla! Ace
Joomla! Ace
Posts: 1074
Joined: Sun Aug 21, 2005 9:18 pm
Contact:

JCal Pro 1.5.3 - Faille de sécurité

Post by ouly » Sat Oct 16, 2010 4:32 pm

Hello tout le monde,
Je fais un petit saut sur le forum pour signaler que l'extension JCal Pro 1.5.3 a une faille, que dis-je un gouffre de sécurité. La chose a été signalée aux développeurs il y a une semaine sans action de leur part pour l'instant.

La faille de sécurité sera publiée publiquement dans quelques temps.

ouly

User avatar
beededea
Joomla! Hero
Joomla! Hero
Posts: 2809
Joined: Wed Oct 31, 2007 3:48 pm
Location: Victorian England 1885

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by beededea » Sun Oct 17, 2010 11:21 am

Perhaps if you could post it in English too then the "whole world" would know? At the moment only a French-speaking world would notice your post and there are still several billion of us that don't speak French.

I think a double post would be allowed in this case! ;D My French is OK but a normal Englishman and possibly all Americans except those from the far north won't fully understand.
Yereverluvinunclebert
Steampunk widgets. Platforms of choice: Joomla 1.0/1.5, Joostina 1.2, OSCommerce
Site aims: Optimisation, Security and Solidity
http://widgets.yahoo.com/widgets/steamp ... k-calendar

User avatar
beededea
Joomla! Hero
Joomla! Hero
Posts: 2809
Joined: Wed Oct 31, 2007 3:48 pm
Location: Victorian England 1885

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by beededea » Sun Oct 17, 2010 11:23 am

Also, do you mean to post in the Joomla 1.0 section?
Yereverluvinunclebert
Steampunk widgets. Platforms of choice: Joomla 1.0/1.5, Joostina 1.2, OSCommerce
Site aims: Optimisation, Security and Solidity
http://widgets.yahoo.com/widgets/steamp ... k-calendar

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2716
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by mejean » Mon Oct 18, 2010 8:24 am

Bonjour Ouly,

Merci de me contacter par PM ou mail. Tiens-nous au courant...

EDIT--
La version JCalPro 1.5.3 pour Joomla! 1.0 n'est plus supportée (voir le site des auteurs). Ceci exiplque peut-être leur absence de réponse.
Je conseille aux utilisateurs de Joomla! 1.0 pour migrer vers la version 1.5. Je l'accorde, cela n'est pas toujours aisé surtout si le site à fait l'objet de développements spécifiques...
Toutefois, Ouly, si tu as une solution (et je pense que tu es capable d'en trouver une) n'hésite pas à la partager ;-)
Jérôme Bussière - simple utilisateur
www.cardabelle.net

User avatar
paimages
Joomla! Intern
Joomla! Intern
Posts: 82
Joined: Thu Aug 18, 2005 2:22 pm
Location: Switzerland
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by paimages » Mon Oct 18, 2010 9:03 am

Merci Ouly pour l'alerte.
Tiens-nous au courant pour qu'on puisse patcher.
www.inetis.ch - Joomla integrator and member of the Joomla.fr Team

User avatar
sarki
Joomla! Explorer
Joomla! Explorer
Posts: 275
Joined: Mon Sep 19, 2005 2:34 pm
Location: Suisse
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by sarki » Mon Oct 18, 2010 9:09 am

Hello à tous,
Merci de l'info Ouly ;)
French Joomla Translation & Support : www.joomla.fr
French JCE Translation & Support : www.sarki.ch/jce

User avatar
ouly
Joomla! Ace
Joomla! Ace
Posts: 1074
Joined: Sun Aug 21, 2005 9:18 pm
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by ouly » Sat Oct 23, 2010 11:45 am

Toujours aucun mouvement de la part de Anything Digital. Je tiens à préciser qu'aucun support n'est effectivement offert pour la version 1.5 de JCal Pro mais qu'elle est toujours vendue (voir http://dev.anything-digital.com/JCal-Pr ... tions.html).

Dans la version actuellement téléchargeable (1.5.3.8 Stable, état au 2010-10-23), en tout cas 3 corrections doivent être apportées au composant. Il ne s'agit pas de failles de sécurité mais de codes malveillants permettant de prendre le contrôle, en tout cas en partie, d'un site.

1. Supprimer le fichier
  • ./languages/italian/lang.php (archive d'installation)
  • ./components/com_jcalpro/languages/italian/lang.php (installé)
2. Supprimer les dernières lignes (à partir de la ligne 191) contenant quelque chose du genre :

Code: Select all

?><?php
eval (gzinflate(base64_decode(
*** FILTRÉ PAR OULY AVANT PUBLICATION ***
)));
?>
du fichier :
  • ./install.jcalpro.php (archive d'installation)
  • ./components/com_jcalpro/install.jcalpro.php (installé)
3. Remplacer les dernières lignes (à partir de la ligne 163) contenant quelque chose du genre :

Code: Select all

</html><?php
eval (gzinflate(base64_decode(
*** FILTRÉ PAR OULY AVANT PUBLICATION ***
)));
?>
par :

Code: Select all

</html>
des fichiers :
  • ./include/colorpicker.php (archive d'installation)
  • ./components/com_jcalpro/include/colorpicker.php (installé)
Je ne garantis pas qu'il n'y ait pas d'autres failles ou codes malveillants. Pour ma part j'ai supprimé les traductions dont je n'avais pas besoin et modifié le composant pour qu'il utilise les fichiers class.smtp.php et class.phpmailer.php de Joomla! et non ceux fournis (donc je n'ai pas vérifié ceux fournis).

ouly

Publié également sur :
http://dev.anything-digital.com/Forum/J ... ity-issue/

User avatar
mejean
Joomla! Hero
Joomla! Hero
Posts: 2716
Joined: Thu Aug 18, 2005 12:28 pm
Location: viewforum.php?f=19
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by mejean » Sat Oct 23, 2010 12:32 pm

Merci pour le retour.
Jérôme Bussière - simple utilisateur
www.cardabelle.net

User avatar
sarki
Joomla! Explorer
Joomla! Explorer
Posts: 275
Joined: Mon Sep 19, 2005 2:34 pm
Location: Suisse
Contact:

Re: JCal Pro 1.5.3 - Faille de sécurité

Post by sarki » Sun Oct 24, 2010 4:18 pm

Merci de cette remontée, mon avis sur Anithing Digital ne s'améliore pas...
Je rappelle que comme pour sh404SEF, toutes mises à disposition gratuite d'une version même antérieure de JcalPro a été interdite du moment où cette extension est devenue payante, cette société évoquant le dépôt du nom, une pratique totalement orientée business...
La non prise en compte de cette alerte qui ne touche certainement qu'une minorité de leurs clients ne redore pas leur blason à mes yeux...
Dommage leurs produits sont bons, mais je vais finir par les boycotter.
French Joomla Translation & Support : www.joomla.fr
French JCE Translation & Support : www.sarki.ch/jce


Locked

Return to “1.0 - Sécurité”