Question concernant maj de sécurité phpbb3

Forum concernant les demandes de support pour tout problème de mise à jour d'un forum phpBB 3.0.x. depuis une version antérieure de phpBB3 ou d'une conversion de phpBB2 vers phpBB3.

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Pensez à effectuer une recherche, la réponse à votre question a de grandes chances d'avoir déjà été donnée.

Question concernant maj de sécurité phpbb3

Messagepar simnux » 26 Avr 2016 à 13:48

Bonjour,

J'ai une question, je sais qu'il y a 2 manières différentes quand on installe un forum phpbb3 :

- soit récupérer l'archive du cms, l'extraire et lancer l'installation depuis l'interface web : dans ce cas il faut gérer manuellement les mises a jour (quand une nouvelle version sort, télécharger l'archive de maj par exemple de 3.0.x a 3.0.y) et de lancer via l'interface.

Il y a une 2ème solution :

- si on a un accès direct a notre serveur (par exemple un Ubuntu Server 14.04), phpbb3 est présent dans les dépôts, on peux alors l'installer comme ceci : sudo apt-get install phpbb3 et il va alors automatiquement créer la base de donnée et installer le forum.

Ma question concerne les mises a jour : si j'utilise la 2ème méthode, si je fais les mises a jour système sur le serveur (sudo apt-get update et sudo apt-get upgrade), est ce que le paquet phpbb3 géré par ubuntu sera lui aussi mis a jour de temps en temps ? est ce que les failles de sécurité corrigé par phpbb sont aussi répercuté dans les paquets mis a jour par ubuntu ?

globalement est-ce relativement sécurisé d'utiliser la version phpbb3 des dépôts de la distribution linux ?

merci d'avance pour votre réponse.


cordialement;
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar simnux » 07 Mai 2016 à 17:16

personne ne sais ?

C'est pour savoir si il est préférable d'utiliser le package fournit sur le site de phpbb ou d'utiliser la version des dépôts de sa distribution linux car l'avantage d'utiliser celui des dépôts c'est qu'il y automatiquement les mises a jour du cms avec les mises a jour du système mais je dois avoir si les mises a jour inclus les correctifs de sécurité de phpbb ?
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar ABDev » 07 Mai 2016 à 17:21

Bonjour,
Techniquement parlant, je pense que les fichiers sont les mêmes (du fait que le projet, si les fichiers avaient été modifiés, je pense que la communauté se serait insurgé depuis). Donc pour ça, on va dire que c'est bon.
Le problème vient par contre des modifications que vous auriez éventuellement apporter aux fichiers.
Je doute qu'un diff soit effectué pour vérifier chaque fichier et reporter les modifications nécessaires.
Donc vous risquez de les perdre à chaque mise à jour par l'intermédiaire des dépôts.
Pour se payer le luxe d'être feignant, il faut sans cesse faire travailler ses méninges ! (Korben)

On clique sur le bouton Répondre plutôt que le bouton Citer ...
Un problème avec une extension ? Pas de lien vers celle-ci ? Sujet ignoré !
Avatar de l’utilisateur
ABDev
Programmationateur
Programmationateur
 
Messages: 15695
Enregistré le: 12 Mai 2005 à 22:54

Re: Question concernant maj de sécurité phpbb3

Messagepar simnux » 09 Mai 2016 à 08:54

Merci pour ta réponse, je me doutais que les motifs ne serai pas gardé.

Par contre il y a une différence avec le numéro de version qui n'est pas la même, d'après ce que je remarque, phpbb3 est gelé dans une version précise (celle au moment ou la distribution linux était sortie) et ensuite il applique les mises a jour de sécurité dessus.

par exemple sur un ubuntu server 14.04 (trusty), la version de phpbb est : 3.0.12-1 (ce qui était bien la dernière version de la branche 3.0 de PhpBB au moment de la sortie (début 2014) mais de temps en temps il y a des mises a jour de sécurité dessus mais ça ne change pas la version (ça reste en 3.0.12), c'est juste qu'il rajoute des chiffres encore après pour le patcher.

alors que la dernière version phpbb3 en branche 3.0 est la 3.0.14

(a noté que la plupart des distributions linux font comme ça : il gèle les logiciels dans une version précise et ensuite il patch sur cette version, c'est le cas d'ubuntu, de debian, de centos etc...).
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar FoFa » 09 Mai 2016 à 11:20

Hello,

D'où l'intérêt de faire les mises à jour vous-même et non pas passer par le système du serveur.
De retour parmi vous :wink:
FoFa
Resp. des supporters
Resp. des supporters
 
Messages: 10592
Enregistré le: 15 Nov 2008 à 18:04
Localisation: Auxonne

Re: Question concernant maj de sécurité phpbb3

Messagepar simnux » 09 Mai 2016 à 14:12

La seule chose qui m'importe c'est la sécurité (c'est pour un forum en production).

Est ce qu'utiliser la version des dépôts du serveur est sécurisé ? sachant qu'elle a comme avantage de ne pas avoir a s'occuper nous-même des mises a jour (puisque les maj sont géré par les dépôts et qu'elles peuvent être automatisé par un cron sur serveur alors qu'avec les mises a jour manuel, il faut de temps en temps uploader les nouveaux fichiers sur le serveur et balancer la mise a jour depuis l'interface web.).
(je considère bien-sûr qu'il n'y a aucune modif sur le forum, pas de mods dessus donc).
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar FoFa » 09 Mai 2016 à 14:39

De toute façon, si tu respectes le nouveau fonctionnement, il n'y aura pas de modifications du code. Car ce sont des extensions (et non plus des MODs) désormais qui sont utilisées pour l'ajout de fonctionnalités sur les forums phpBB.

A la limite les seules modifications se feront au niveau du style, mais même là il y a moyen de ne pas toucher au style d'origine (prosilver) en créant un style enfant.
De retour parmi vous :wink:
FoFa
Resp. des supporters
Resp. des supporters
 
Messages: 10592
Enregistré le: 15 Nov 2008 à 18:04
Localisation: Auxonne

Re: Question concernant maj de sécurité phpbb3

Messagepar simnux » 09 Mai 2016 à 15:41

oui mais tu ne répond pas a ma question : est ce que c'est sécurité d'utiliser la version phpbb3 des dépôts avec leur propre mise a jour ?
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar FoFa » 09 Mai 2016 à 15:47

Des dépôts sur les serveurs ? Personnellement, non. Suffit de voir que les versions phpBB indiquées ne sont pas les bonnes. Je ne ferais pas confiance avec un tel système.
De retour parmi vous :wink:
FoFa
Resp. des supporters
Resp. des supporters
 
Messages: 10592
Enregistré le: 15 Nov 2008 à 18:04
Localisation: Auxonne

Re: Question concernant maj de sécurité phpbb3

Messagepar ABDev » 09 Mai 2016 à 18:21

Partant du principe que les versions proposées ne sont pas à jour, ce n'est effectivement pas sécurisé.
C'est uniquement la transaction serveur /dépôts qui l'est.
Pour se payer le luxe d'être feignant, il faut sans cesse faire travailler ses méninges ! (Korben)

On clique sur le bouton Répondre plutôt que le bouton Citer ...
Un problème avec une extension ? Pas de lien vers celle-ci ? Sujet ignoré !
Avatar de l’utilisateur
ABDev
Programmationateur
Programmationateur
 
Messages: 15695
Enregistré le: 12 Mai 2005 à 22:54

Re: Question concernant maj de sécurité phpbb3

Messagepar simnux » 11 Mai 2016 à 16:59

Oui mais il ajoute des mises a jour de sécurité dessus quand même.

Pour info, il y a des très gros forums (certains plus gros que le votre) qui utilise aussi la version 3.0.12 alors que c'est la 3.0.14.

Exemple, le plus gros forum francophone sur le homecinema : http://www.homecinema-fr.com/forum/
Comme vous pouvez le voir ici : http://www.homecinema-fr.com/forum/styl ... /style.cfg
Il est en 3.0.12 alors que la version actuelle de la branche 3.0 c'est la 3.0.14, donc si on suit votre logique, ça voudrai dire que leur forum n'est pas sécurisé ?
simnux
Posteur néophyte
Posteur néophyte
 
Messages: 9
Enregistré le: 11 Mar 2016 à 23:13

Re: Question concernant maj de sécurité phpbb3

Messagepar FoFa » 11 Mai 2016 à 17:14

Hello,

Cela veut dire que leur forum n'est pas sécurié en effet. Si quelqu'un découvre une faille sur phpBB 3.0.12, leur forum se fera pirater.
De retour parmi vous :wink:
FoFa
Resp. des supporters
Resp. des supporters
 
Messages: 10592
Enregistré le: 15 Nov 2008 à 18:04
Localisation: Auxonne

Re: Question concernant maj de sécurité phpbb3

Messagepar ABDev » 12 Mai 2016 à 05:50

simnux a écrit:Pour info, il y a des très gros forums (certains plus gros que le votre) qui utilise aussi la version 3.0.12 alors que c'est la 3.0.14.

Exemple, le plus gros forum francophone sur le homecinema : http://www.homecinema-fr.com/forum/
Comme vous pouvez le voir ici : http://www.homecinema-fr.com/forum/styl ... /style.cfg
Il est en 3.0.12 alors que la version actuelle de la branche 3.0 c'est la 3.0.14, donc si on suit votre logique, ça voudrai dire que leur forum n'est pas sécurisé ?

Concrètement, en quoi c'est votre problème ? S'ils souhaitent s'exposer à des risques, c'est le leur.

On sait que la version 3.0.12 contient une faille CSRF, ainsi qu'une autre sur le CSS par le biais d'Internet Explorer 7.

The first vulnerability is a CSRF potentially allowing an attacker to modify the private message setting that determines how full folders are handled (i.e. whether to delete the oldest message or hold the new message until further space is available). Users FBNeal and lampsys independently reported the issue to us.

The second issue, reported to us by James Kettle, allows an attacker to load arbitrary CSS in Internet Explorer by crafting a URL with trailing paths after a PHP file (for example /path/index.php/more/path). This is only possible if the webserver configuration allows accessing PHP files in this manner. This can be exploited directly on Internet Explorer 7 or below, and on newer versions of Internet Explorer by using a frame that forces outdated rendering behavior.

Et la 3.0.13 en contient aussi.

Thanks to Mathias Karlsson (avlidienbrunn) for bringing the security issue to our attention. An insufficient check allowed users of the Google Chrome browser to be redirected to external domains (e.g. on login) when provided with a malicious URL from a third party.
Pour se payer le luxe d'être feignant, il faut sans cesse faire travailler ses méninges ! (Korben)

On clique sur le bouton Répondre plutôt que le bouton Citer ...
Un problème avec une extension ? Pas de lien vers celle-ci ? Sujet ignoré !
Avatar de l’utilisateur
ABDev
Programmationateur
Programmationateur
 
Messages: 15695
Enregistré le: 12 Mai 2005 à 22:54


Retourner vers Mises à jour/Conversions

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 3 invités