JCal Pro 1.5.3 - Faille de sécurité

[ouly]

Hello tout le monde,
Je fais un petit saut sur le forum pour signaler que l'extension JCal Pro 1.5.3 a une faille, que dis-je un gouffre de sécurité. La chose a été signalée aux développeurs il y a une semaine sans action de leur part pour l'instant.

La faille de sécurité sera publiée publiquement dans quelques temps.

ouly

[beededea]

Perhaps if you could post it in English too then the "whole world" would know? At the moment only a French-speaking world would notice your post and there are still several billion of us that don't speak French.

I think a double post would be allowed in this case! My French is OK but a normal Englishman and possibly all Americans except those from the far north won't fully understand.

[beededea]

Also, do you mean to post in the Joomla 1.0 section?

[mejean]

Bonjour Ouly,

Merci de me contacter par PM ou mail. Tiens-nous au courant...

EDIT--
La version JCalPro 1.5.3 pour Joomla! 1.0 n'est plus supportée (voir le site des auteurs). Ceci exiplque peut-être leur absence de réponse.
Je conseille aux utilisateurs de Joomla! 1.0 pour migrer vers la version 1.5. Je l'accorde, cela n'est pas toujours aisé surtout si le site à fait l'objet de développements spécifiques...
Toutefois, Ouly, si tu as une solution (et je pense que tu es capable d'en trouver une) n'hésite pas à la partager ;-)

[paimages]

Merci Ouly pour l'alerte.
Tiens-nous au courant pour qu'on puisse patcher.

[sarki]

Hello à tous,
Merci de l'info Ouly

[ouly]

Toujours aucun mouvement de la part de Anything Digital. Je tiens à préciser qu'aucun support n'est effectivement offert pour la version 1.5 de JCal Pro mais qu'elle est toujours vendue (voir http://dev.anything-digital.com/JCal-Pr ... tions.html).

Dans la version actuellement téléchargeable (1.5.3.8 Stable, état au 2010-10-23), en tout cas 3 corrections doivent être apportées au composant. Il ne s'agit pas de failles de sécurité mais de codes malveillants permettant de prendre le contrôle, en tout cas en partie, d'un site.

1. Supprimer le fichier

• ./languages/italian/lang.php (archive d'installation)
• ./components/com_jcalpro/languages/italian/lang.php (installé)

2. Supprimer les dernières lignes (à partir de la ligne 191) contenant quelque chose du genre :

Code: Select all

?><?php
eval (gzinflate(base64_decode(
*** FILTRÉ PAR OULY AVANT PUBLICATION ***
)));
?>

du fichier :

• ./install.jcalpro.php (archive d'installation)
• ./components/com_jcalpro/install.jcalpro.php (installé)

3. Remplacer les dernières lignes (à partir de la ligne 163) contenant quelque chose du genre :

Code: Select all

</html><?php
eval (gzinflate(base64_decode(
*** FILTRÉ PAR OULY AVANT PUBLICATION ***
)));
?>

par :

Code: Select all

</html>

des fichiers :

• ./include/colorpicker.php (archive d'installation)
• ./components/com_jcalpro/include/colorpicker.php (installé)

Je ne garantis pas qu'il n'y ait pas d'autres failles ou codes malveillants. Pour ma part j'ai supprimé les traductions dont je n'avais pas besoin et modifié le composant pour qu'il utilise les fichiers class.smtp.php et class.phpmailer.php de Joomla! et non ceux fournis (donc je n'ai pas vérifié ceux fournis).

ouly

Publié également sur :
http://dev.anything-digital.com/Forum/J ... ity-issue/

[mejean]

Merci pour le retour.

[sarki]

Merci de cette remontée, mon avis sur Anithing Digital ne s'améliore pas...
Je rappelle que comme pour sh404SEF, toutes mises à disposition gratuite d'une version même antérieure de JcalPro a été interdite du moment où cette extension est devenue payante, cette société évoquant le dépôt du nom, une pratique totalement orientée business...
La non prise en compte de cette alerte qui ne touche certainement qu'une minorité de leurs clients ne redore pas leur blason à mes yeux...
Dommage leurs produits sont bons, mais je vais finir par les boycotter.