Bonjour à tous et à toutes.
suite aux mésaventures avec OVH et la fermeture de mon site, voici quelques
news.
D'après ce que j'ai compris, il existe une faille de sécurité dans la
version 1.5.1 de SPIP. Un hacker se serai introduit dans les serveurs d'ovh
via mon site et aurai tenté de faire tourner un soft pour faire chépakoi. Le
serveur d'ovh aurai automatiquement fermé l'accès à mon site.
Après avoir contacté la hotline d'ovh, et après leur avoir expliqué que je
suis loin d'être un hackeur puisque tout juste bon à utiliser des scripts
faire par d'autres que moi 
le technicien d'ovh m'a assuré qu'il
s'occuperai personnellement de la ré-ouverture de mon site soit aujourd'hui
et au plus tard demain. Il m'a vivement conseillé de passer à la version
1.5.2 de SPIP.
Après la colère du départ, je dois quand même avoué que, malgré des
pratiques un peu sévères (fermeture de site), je pense qu'OVH fait tout de
même bien son boulot puisque ce n'est là que mon deuxème soucis en deux ans,
et que de manière générale, mes sites tournent relativement bien et qu'en
dehors de ces deux petites péripéties, je n'ai encore jamais eu aucun bug.
Voilà, je vous tiendrai au courant de l'évolution de l'ovh story notamment
pour vous dire s'ils auront tenu leur promesse.
Salutations amicales à tous les spipeurs et spipeuses
aiglobulles
ouebmunster de :
http://www.aquamonstres.net/ ( l'aquariophilie naturelle )
http://www.aquamonstres.net/copper/ ( Ze galerie of Les Monstres )
http://www.regime-public.net/ ( Le Carnet de bord du Régime du gros )
Salut,
suite aux mésaventures avec OVH et la fermeture de mon site, voici
quelques
news.
D'après ce que j'ai compris, il existe une faille de sécurité dans la
version 1.5.1 de SPIP.
En effet, il paraît. L'annonce date de février et a été faite sur les
deux listes à la fois (spip et spip-ann) :
Il est nécessaire de mettre à jour, même si vous n'avez pas encore
été piraté... 
J'ai envoyé une demande d'info à OVH pour avoir plus d'infos sur
la faille utilisée.
Amicalement
Antoine.
----- Original Message -----
From: "Antoine" <antoine@rezo.net>
To: <spip@rezo.net>
Sent: Monday, April 28, 2003 5:10 PM
Subject: Re: [Spip] Faille de sécurité, quelques nouveautés (2)
> En effet, il paraît. L'annonce date de février et a été faite sur les
> deux listes à la fois (spip et spip-ann) :
> Discuter chez rezo.net
Ou plutôt
Discuter chez rezo.net
... Bonjour la Liste,
Tout d'abord bravo pour votre dynamisme et la diffusion Open de SPIP
Question simple de Nwbee sur la sécurité et la V1.5.2 = nous utilisons le
pack Biospip 2.4. sur un site né il y a 15 jours ... mais je ne parviens pas
à voir quelle est la version de SPIP installée par ce pack ? ... Ca marche
bien à part 1 bug sur les fonds d'écran de qq rédacteurs un peu trop
"astucieux". Peut-on ( et comment) réinstaller ( si besoin) les futures
versions de SPIP "par dessus" l'actuel Biospip de façon simple ( il doit
bien y avori un include à modifier qq part, OK). Ou faut-il attendre une
nouvelle version du bio-squelette ? Idem pour les autres squelettes en
général.
PS : pls ne hurlez pas, on débuuuuuuûte
Merci@plus de jfb ( mgbz-briey.net)
Salut,
Question simple de Nwbee sur la sécurité et la V1.5.2 = nous utilisons le
pack Biospip 2.4. sur un site né il y a 15 jours ... mais je ne parviens
pas
à voir quelle est la version de SPIP installée par ce pack ? ...
La version installée est affichée dans l'espace privé, tout en bas de
la page (quelle qu'elle soit, par exemple la page "Ã suivre"). Tu as
une mention assez discrète du type "SPIP 1.5.2 distribué sous licence
GPL".
Peut-on ( et comment) réinstaller ( si besoin) les futures
versions de SPIP "par dessus" l'actuel Biospip de façon simple
Je ne connais pas bien "Biospip", mais si c'est juste un jeu de squelettes
personnalisé, il suffit d'utiliser le "spip_loader.php3" de l'installation
automatique, cela effectuera la mise à jour sans altérer tes squelettes.
(si tu n'es pas sûr, tu peux toujours faire une sauvegarde des fichiers
.html au cas où).
Amicalement
Antoine.
Hello Antoine et aussi les autres spipeurs
comme promis, voici les dernières nouvelles. Après m'être rendu dans mon
espace d'admin de SPIP, je me suis rendu compte que j'utilise déjà la
version 1.5.2; SPIP n'est donc à priori pas la cause du trou de sécurité.
Spip ne gérant pas encore très efficament les galeries photos, j'ai opté
pour le script Coppermine Photo Gallery. Un script franchement super, mais
que je commence sincèrement à mettre en doute du point de vue sécurité. En
effet il y a environ un mois, quelqu'un avait posté une image dans un album
de photos de poissons d'aquarium, mais qui n'avait pas le moindre rapport
avec l'aquariophilie (sujet principal de mon site). Je me demande si par le
biais de cette image (je n'ai pas eu la présence d'esprit de vérifier
l'extension de l'image en question), un hackeur ne se serai pas introduit
dans les serveurs d'OVH....
Toujours est-il qu'à l'heure actuelle, le problème installé par le hackeur
semble tjs fonctionner et le service technique d'OVH m'a demandé d'y mettre
un terme. Ils sont comiques, j'y connais que dalle moi dans tous ces
trucs....
Je vous retrouve dans un nouveau thread pour la suite de l'histoire
--
aiglobulles
ouebmunster de :
http://www.aquamonstres.net/ ( l'aquariophilie naturelle )
http://www.aquamonstres.net/copper/ ( Ze galerie of Les Monstres )
http://www.regime-public.net/ ( Le Carnet de bord du Régime du gros )
"Antoine" <antoine@rezo.net> a écrit dans le message de news:
38156.80.67.170.17.1051542625.squirrel@rezo.net...
> En effet, il paraît. L'annonce date de février et a été faite sur les
> deux listes à la fois (spip et spip-ann) :
> Discuter chez rezo.net
Ou plutôt
Discuter chez rezo.net
Salut
Le Jeudi 1 Mai 2003 17:22, aiglobulles a écrit :
Hello Antoine et aussi les autres spipeurs
comme promis, voici les dernières nouvelles. Après m'être rendu dans mon
espace d'admin de SPIP, je me suis rendu compte que j'utilise déjà la
version 1.5.2; SPIP n'est donc à priori pas la cause du trou de sécurité.
Spip ne gérant pas encore très efficament les galeries photos, j'ai opté
pour le script Coppermine Photo Gallery. Un script franchement super, mais
que je commence sincèrement à mettre en doute du point de vue sécurité. En
effet il y a environ un mois, quelqu'un avait posté une image dans un album
de photos de poissons d'aquarium, mais qui n'avait pas le moindre rapport
avec l'aquariophilie (sujet principal de mon site). Je me demande si par le
biais de cette image (je n'ai pas eu la présence d'esprit de vérifier
l'extension de l'image en question), un hackeur ne se serai pas introduit
dans les serveurs d'OVH....
Toujours est-il qu'à l'heure actuelle, le problème installé par le hackeur
semble tjs fonctionner et le service technique d'OVH m'a demandé d'y mettre
un terme. Ils sont comiques, j'y connais que dalle moi dans tous ces
trucs....
Je vous retrouve dans un nouveau thread pour la suite de l'histoire
Ils sont toujours aussi "pieds nickelés" chez OVH ;-))) Il me semble qu'un
admin serveur un tant soit peu compétent serait quand même capable de t'aider
un petit peu pour résoudre le pb.
Si déjà, ils voulaient (pouvaient?) bien te fournir l'extrait des logs de ton
compte sur leur serveur, cela aiderait pas mal pour savoir plus précisément
ce qui a pu se passer.
A mon avis, vire ton truc coppermine et vois si le pb persiste.
Regarde aussi dans le répertoire de ton site, si il n'y a pas des fichiers qui
n'aurait rien à faire dans un site Spip ainsi que les dates de modifications
de tes fichiers. N'oublies pas de demander à ton logiciel ftp de montrer
aussi les fichiers cachés.
Demande à OVH, s'ils veulent bien t'attribuer un nouveau login/mot de passe
pour ton compte et ta base et change les.
A+ Yann
--
Les news du logiciel libre http://it.mondelinux.org
Les news des CMS libres http://www.boomtchak.net
Un Intranet/Extranet Open Source
http://yann.services-virtuavision.com/intralibre/
Independant Technologies est membre du réseau E-toiles
http://www.e-toiles.coop
Yann, Morlaix (Finistère, le bout du monde), 02 98 78 60 02