Posh : premier commit

Ça y est, j’ai fait mon premier commit sur le logiciel posh : je fais partie de l’équipe des développeurs de ce logiciel libre axé web 2.0. Pour ceux qui ne seraient pas au courant, posh est un portail web à la manière de Netvibes ou iGoogle. Sa différence tient dans le fait qu’il soit libre (GPL, […]

17 août 2007 par Ghusse 

Rencontre avec Eric Mathieu (portaneo)

J’ai rencontré hier soir l’un des trois fondateurs de portaneo (et de posh) pour discuter du partenariat entre ce projet libre et l’entreprise dans laquelle je suis en stage. Je vais certainement prendre part au projet de manière très active, j’ai plusieurs pistes en tête sur les améliorations à apporter mais cela va être discuté très […]

20 juillet 2007 par Ghusse 

Posh : à vos mises à jour

Absolument indispensable : si vous avez une installation de posh en production, faites une mise à jour vers la version 1.3.2 si ce n’est déjà fait. Et surtout, vérifiez souvent s’il n’y en a pas d’autres car posh est un projet jeune et pas très sécurisé (pour l’instant). En regardant le code je viens de voir que de […]

16 juillet 2007 par Ghusse 

Posh : rustine sur portaneo.com

Je vais pouvoir en dire plus à propos de cette faille qui concerne la version 1.3.0 et inférieures. Je suis en relation en ce moment avec le fondateur de posh qui m’assure qu’un travail important au niveau de la sécurité sera fait à partir de fin juillet. Devant l’ampleur du problème, le prochain patch (fin de semaine) […]

12 juillet 2007 par Ghusse 

Posh : problème de sécurité

J’ai trouvé le moyen d’obtenir le mot de passe administrateur (complètement en clair) d’à peu près toute installation de posh. Cette faille s’appuie en fait sur deux problèmes majeurs : Le mot de passe admin est stocké en clair dans la base de données Il est possible de réaliser une injection SQL via un formulaire […]

11 juillet 2007 par Ghusse 

Posh : security Hole

I found a way to obtain the admin password (not encrypted) on any installation of posh. This hole is based on the exploitation of 2 major security issues : Admin password is stored as is in the DB (neither encrypted nor hashed) SQL injection is possible using a form I contacted Eric Mathieu about this problem, I’m currently […]

11 juillet 2007 par Ghusse