[pmwiki-users-fr] Vulnérabilité dans PmWiki < 2.2.35

[Petko Yotov]

Bonjour,

Je suis tombé par hazard sur un site francophone tournant avec PmWiki de  
version inférieure à 2.2.35. J'ai écrit au webmestre mais je relance le  
message dans la liste de discussion au cas où quelqu'un de nous se  
trouverait dans la même situation.

Toutes les versions avant pmwiki-2.2.35 ont une vulnérabité critique  
permettant l'injection de code PHP (presque) arbitraire. Si votre wiki  
tourne avec une version entre 2.0-beta33 et 2.2.34 inclus vous devez au plus  
vite mettre à jour votre installation, ou, si ce n'est pas possible, au  
moins désactiver la fonction de recherche, en ajoutant à config.php ceci:

  if ($action == 'search') $action = 'browse';

Même les sites protégés en écriture sont vulnérables par la fonction de  
recherche, et ce même si votre thème (skin) n'a pas de formulaire de  
recherche. Les wikis ouverts qui ne peuvent pas actualiser leurs  
installations devraient également desactiver les '(:pagelist:)' en ajoutant  
ceci:

   $EnablePageList = 0;

Les versions 2.2.35 et suivantes ne sont plus vulnérables donc peuvent  
réactiver les recherches et les pagelists.

Tout ceci a été discuté dans les listes en anglais et est documenté ici:  
http://www.pmwiki.org/wiki/PmWiki/ReleaseNotes#v2235 mais tout le monde  
n'est pas abonné aux listes en anglais donc je reposte.

En cas de questions ou de difficultés n'hésitez pas à me contacter  
directement ou sur les listes de discussion, en français ou en anglais.

Petko