Bonjour,
Je suis tombé par hazard sur un site francophone tournant avec PmWiki de
version inférieure à 2.2.35. J'ai écrit au webmestre mais je relance le
message dans la liste de discussion au cas où quelqu'un de nous se
trouverait dans la même situation.
Toutes les versions avant pmwiki-2.2.35 ont une vulnérabité critique
permettant l'injection de code PHP (presque) arbitraire. Si votre wiki
tourne avec une version entre 2.0-beta33 et 2.2.34 inclus vous devez au plus
vite mettre à jour votre installation, ou, si ce n'est pas possible, au
moins désactiver la fonction de recherche, en ajoutant à config.php ceci:
if ($action == 'search') $action = 'browse';
Même les sites protégés en écriture sont vulnérables par la fonction de
recherche, et ce même si votre thème (skin) n'a pas de formulaire de
recherche. Les wikis ouverts qui ne peuvent pas actualiser leurs
installations devraient également desactiver les '(:pagelist:)' en ajoutant
ceci:
$EnablePageList = 0;
Les versions 2.2.35 et suivantes ne sont plus vulnérables donc peuvent
réactiver les recherches et les pagelists.
Tout ceci a été discuté dans les listes en anglais et est documenté ici:
http://www.pmwiki.org/wiki/PmWiki/ReleaseNotes#v2235 mais tout le monde
n'est pas abonné aux listes en anglais donc je reposte.
En cas de questions ou de difficultés n'hésitez pas à me contacter
directement ou sur les listes de discussion, en français ou en anglais.
Petko
_______________________________________________
pmwiki-users-fr mailing list
[email protected]
http://www.pmichaud.com/mailman/listinfo/pmwiki-users-fr
