Posh : premier commit

Ça y est, j’ai fait mon premier commit sur le logiciel posh : je fais partie de l’équipe des développeurs de ce logiciel libre axé web 2.0. Pour ceux qui ne seraient pas au courant, posh est un portail web à la manière de Netvibes ou iGoogle. Sa différence tient dans le fait qu’il soit libre (GPL, […]

17 août 2007 par Ghusse 

Rencontre avec Eric Mathieu (portaneo)

J’ai rencontré hier soir l’un des trois fondateurs de portaneo (et de posh) pour discuter du partenariat entre ce projet libre et l’entreprise dans laquelle je suis en stage. Je vais certainement prendre part au projet de manière très active, j’ai plusieurs pistes en tête sur les améliorations à apporter mais cela va être discuté très […]

20 juillet 2007 par Ghusse 

Posh : la faille (XSS) du jour

Eh oui, encore une. Je l’ai découverte ce matin (dans le métro en y repensant). Elle était tellement évidente que je n’y ai pas pensé tout de suite. Cette faille XSS permet, comme la précédente, à une personne mal intentionnée d’exécuter des actions avec les privilèges administrateur par l’intermédiaire de javascript. Cela se produit à cause de l’interface […]

17 juillet 2007 par Ghusse 

Posh : faille

Cette fois ci j’ai essayé de trouver une faille XSS (cross site scripting) dans posh, j’ai réussi. Toujours en utilisant la fonctionnalité de proposition d’un module : on lance l’exécution d’un script non désiré lorsque l’administrateur consulte la page des modules en attente de validation. Par ce biais un utilisateur peu scrupuleux peut exécuter des […]

16 juillet 2007 par Ghusse 

Posh : à vos mises à jour

Absolument indispensable : si vous avez une installation de posh en production, faites une mise à jour vers la version 1.3.2 si ce n’est déjà fait. Et surtout, vérifiez souvent s’il n’y en a pas d’autres car posh est un projet jeune et pas très sécurisé (pour l’instant). En regardant le code je viens de voir que de […]

16 juillet 2007 par Ghusse 

Posh : rustine sur portaneo.com

Je vais pouvoir en dire plus à propos de cette faille qui concerne la version 1.3.0 et inférieures. Je suis en relation en ce moment avec le fondateur de posh qui m’assure qu’un travail important au niveau de la sécurité sera fait à partir de fin juillet. Devant l’ampleur du problème, le prochain patch (fin de semaine) […]

12 juillet 2007 par Ghusse 

Posh : problème de sécurité

J’ai trouvé le moyen d’obtenir le mot de passe administrateur (complètement en clair) d’à peu près toute installation de posh. Cette faille s’appuie en fait sur deux problèmes majeurs : Le mot de passe admin est stocké en clair dans la base de données Il est possible de réaliser une injection SQL via un formulaire […]

11 juillet 2007 par Ghusse 

Posh : security Hole

I found a way to obtain the admin password (not encrypted) on any installation of posh. This hole is based on the exploitation of 2 major security issues : Admin password is stored as is in the DB (neither encrypted nor hashed) SQL injection is possible using a form I contacted Eric Mathieu about this problem, I’m currently […]

11 juillet 2007 par Ghusse