pas d'acces à l'admin

Stephane_Santon · Mai 14, 2023, 7:55

Ne perdez pas plus de temps à rédiger de longs textes d’argumentations pour moi.

SI vous pensez que « Informer d’une mise à jour de de sécurité sur les versions maintenues » est équivalent à « Informer d’une vague d’attaques sur l’ensemble des versions non à jour, mêmes antérieures aux maintenues », je ne m’époumone pas plus.

Jack31 · Mai 14, 2023, 8:06

Ca va faire du bien
Merci

RealET · Mai 15, 2023, 7:04

Ça fait un mois qu’on a vu passer les premières attaques ici.
Et, globalement, c’est après attaque que les victimes viennent ici, pas avant.
Autrement dit, et comme partout, quoiqu’on puisse faire pour essayer de prévenir, la communication sera toujours mauvaise.

Ceci dit, WordPress fait régulièrement l’objet dans la presse d’une information sur une vague d’attaque ayant touché plusieurs centaines de milliers, voire de millions de sites web.
Et ça ne fait ni chaud ni froid à sa réputation.

Par contre, ça touche beaucoup de monde qui songe alors à mettre à jour.

Peut-être pourrais-tu rédiger un communiqué de presse et le faire passer à la presse pour informer de cette vague d’attaque ?

Eric.C · Mai 15, 2023, 7:35

Pour répondre au point 3 :

Répondre à une question posée sur le sujet : « est-ce mettre à jour l’écran de sécurité sur des vieilles versions protègerait temporairement en attendant la mise à jour ? »

NON : l’écran de sécurité ne protège pas les versions inférieurs a 3
(peut-être même jusqu’a 3.2 !!!). J’en ai la preuve par notre serveur
qui a été infecté le 23-3 (SPIP 2.1) alors que l’écran (1.5.1) a été
placé la veille (22-3).
En plus, le système a été infecter avec un mineur par une deuxième
attaque (serveur actuellement retiré).
C’est donc une faille plus que critique.

Peut-être mettre une hiérarchie dans le type de faille afin d’évité
l’effet « crier au loup » + faire des correctifs plus profond dans les
versions de SPIP (jusqu’à N-2 dernière subversion : ici 2.1) en fonction
de la gravité de la faille.

Je profite de cet intervention pour donner mon avis sur autre chose : le
suivi des versions de SPIP avec le calendrier des versions de PHP : moi
pas comprendre !!!, c’est pour ma part contre-productif, ne vaudrait-il
pas mieux faire des mise à jour mineure (X.Y.Z+1) pour adapter SPIP au
langage (suppression de fonctions) et qu’il soit compatible PHP dernière
version ?

–
Cordialement, Eric Camus.

marcimat · Mai 15, 2023, 8:04

Alors

On ne maintient plus ces versions < 3.2 depuis assez longtemps maintenant
Tout dépend des backdoors potentiellement injectées avant la mise à jour de l’écran de sécu aussi, et réutilisées après coup, si elles n’avaient pas été supprimées

Peut-être mettre une hiérarchie dans le type de faille afin d’évité l’effet « crier au loup »

Quand tu lis « critique » dans le titre de l’annonce, c’est que c’est forcément grave !

Il faut se dire que toute faille sera exploitée par des robots (plus ou moins sympas, de cryptominage ou autres), et donc il est important de mettre à jour dès que l’une est connue… Et de nettoyer les backdoors installées quand le site s’est fait pirater !

JLuc · Mai 15, 2023, 9:26

L’écran de sécurité fait ce qu’il peut pour corriger les failles même sur un SPIP qui n’a pas été mis à jour, mais il ne peut pas toujours tout faire.
C’est peu fréquent heureusement, mais Il est arrivé dans le passé que certaines failles soient corrigées dans SPIP mais ne puissent pas être parées par l’écran de sécurité.
Sans oublier que l’écran de sécurité doit être mis à jour aussi.