Développeur | Zend Certified Engineer
Étapes Pour mieux se servir du forum:
1. Commencez par lire les cours et tutoriels ;
2. Faites une recherche;
3. Faites un post si rien trouvé dans les deux étapes précédentes en respectant les règles;
Nix>_Rien n'est plus pratique que la théorie
Intéressant le post de Hannes Magnusson qui explique qu'il est difficile de passer inaperçu à faire des commit sur le repo officiel.
Néanmoins le risque engendré par une faille d'une appli annexe (le wiki) n'aurait pas dû conduire à une intrusion sur le SVN qui reste la référence du langage et de son développement.
Toujours cette même rengaine sur la sécurité : le niveau d'un système de sécurité est celui du plus faible de ses maillons...
- Mon blog PHP : http://blog.alterphp.com
- "Peace cannot be kept by force, it can only be achieved by Understanding" -- Albert Einstein
Moi je trouve vraiment ca bizarre ce genre de chose.
Justement quand PHP perd un peu de vitesse, qu'il commence à être un peu moins à la mode (pour les jeunes développeurs) ....
Genre "PHP c'est fini, vous voyez en plus il est vérolé de partout,.... changer de langage".
C'est vraiment louche cette histoire, et bien sûr ca vient forcement de la chine....
Je dis ça comme ça.
Mais le hacker aurait pu s'infiltrer pendant la maintenance du site.
Quelle était le genre de faille sur DokuWiki?
Ce qui est écrit porte à confusion : je cite :
"une autre faille sur le système Linux sous-jacent, permettant l'élévation des privilèges"
Je suis presque sûr que ce n'est pas une faille sur le système Linux, à proprement parler, mais un programme autour plutôt mal construit qu'une personne, à un moment donné, s'est dit "bon je n'arrive à faire ça qu'en root, autant donner l'accès root au programme", comme par exemple c'est le cas pour le serveur HTTPD lors de la première phase d'initialisation (j'insiste bien sur la "première", parce qu'après, dès la seconde phase, tout tourne sous le n'om d'utilisateur/groupe "apache/apache" (à adapter selon de type de distribution)).
C'est ce qui est écrit qui peut porter à confusion. Attention donc à imaginer plusieurs interprétations possibles de ce genre d'affirmation.
Tiens je ne savais pas que c'était un des responsables même qui l'avait piraté
.I..
Bien joué Vupen Security, ca c'est du bon boulot et surtout de la promo top niveau.
En tous cas ce problème démontre que PHP suscite les convoitises, même si c'est ennuyeux pour tous ceux qui se croyaient à l'abri. En tous cas je tire mon chapeau à toutes celles et ceux qui oeuvrent pour détecter de telles attaques et en plus de les trouver. Chercher c'est bien, trouver c'est mieux
----
L'avenir appartient à ceux dont les salariés se lèvent tôt.
Cela fait bientôt 30 ans que je suis dans l'informatique, donc j'en ai déjà vu!
En 1993, une annonce était parue partout dans les médias, comme quoi tel jour à telle heure, un virus allait s'attaquer à tous les ordinateurs! Le nom de ce virus était "michelange".
Que c'est-il passé le jour et à l'heure dite? Rien! Par contre, on a vu une énorme hausse des ventes d'antivirus!
Donc, cette information avait été fabriquée de toute pièce par les fabricants d'antivirus!
Qui nous dit que le piratage du code source de PHP, n'est pas du même genre?
L'avenir nous le dira...
LG
Pourquoi de php ? Plutôt de la firme française qui a découvert le problème. Je vois pas ce que PHP.Net aurait à gagner...
"Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla
Je soutiens Diaspora*, le réseau social libre.
Veillez à porter une attention toute particulière à l'orthographe...
Blog collaboratif avec des amis : http://geexxx.fr
Mon avatar a été fait par chiqitos, merci à lui !
La plus grande préoccupation est l intention de vouloir modifier le code source .
Heureusement qu il existe depuis la version 5.3.5 un petit code interne qui permet l auto audit et il n a détecté aucune anomalie.
php.net n'a pas été piraté, quelqu'un s'est servi du compte d'un des developpeurs pour faire un commit rajoutant un remerciement à un certain "Wolegequ Gelivable" . c'est meme pas le code qui a été tenté d'être touché.
et la, on touche meme pas l'exploit technique, ca peut tres bien etre du hack social.
ce n'est donc pas l'infrastructure securitaire du site ou de svn qui est en jeu, mais plutot la politique de securité des comptes des developpeurs et contributeurs au projet.
en tout cas, je suis trés impressionné de voir la reactivité et le degré de surveillance des personnes participants à ce projet, et ca me renforce d'autant plus dans la conviction que le code doit etre ouvert et connu de tous.
pas comme chez microsoft ou ils n'ont JAMAIS étés capable de corriger le bug du controleur du lecteur de disquette.(un seul exemple suffit, sinon on en sortira jamais. bref.
corriger des failles et les éliminer progressivmeent au vu et au su de tout le monde, c'est toujours mieux que de laisser des goufres cachés exister sous nos pieds.
vive php, bravo les gars,et les filles, continuez comme ca!
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager