~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Faille majeure dans WiClear

La dernière version de WiClear contient une faille majeure permettant l'injection de code distant quand register_globals est sur ON dans PHP.

Je dévoilerais les détails quand elle sera corrigée, mais je vous conseil de mettre register_globals à Off ou de supprimer WiClear de votre site.

(Note: ceci explique le hack des homepages de kd2.org et bl0g.eu)

D'ailleurs quand on parle du loup: http://secunia.com/advisories/22547/

Edit: joke, l'auteur de WiClear réagit avec une semaine de retard et se plaint que ses sites se sont fait défacés. Et les utilisateurs de WiClear ? Il ne publie même pas de correctif, simplement suggère de mettre .htaccess dans les répertoires d'admin. C'était compliqué de remplacer une variable par une constante ?

Écrire un commentaire
(facultatif)
(facultatif)
(obligatoire)
 _                                 _   _           
| | ___   ___ ___  _ __ ___   ___ | |_(_)_   _____ 
| |/ _ \ / __/ _ \| '_ ` _ \ / _ \| __| \ \ / / _ \
| | (_) | (_| (_) | | | | | | (_) | |_| |\ V /  __/
|_|\___/ \___\___/|_| |_| |_|\___/ \__|_| \_/ \___|
(obligatoire)

Les adresses internet seront converties automatiquement.
Tags autorisés : <blockquote> <cite> <pre> <code> <var> <strong> <em> <del> <ins> <kbd> <samp> <abbr>