Mail-it Now! Upload2Server v1.5.1 : security fix

18 February 202402 octobre 2005 by Matt Biscay · Lecture: 2 minutes

J’ai découvert hier qu’un hacker avait publié un script permettant d’exploiter une faille dans un de mes scripts, Mail-it Now!.

Lors de l’upload de fichiers sur un serveur distant, le script renomme automatiquement les fichiers en ajoutant la date au format Unix.

Or notre hacker a créé un formulaire distant qui essaie de calculer le timestamp. Il ne lui reste donc plus qu’à reformer le nom du fichier (date + nom de fichier) et de deviner le nom du répertoire upload.

Cela lui permet alors d’uploader un fichier lui permettant d’exécuter du code à distance (remote code execution).

La bonne nouvelle, c’est que le script a été immédatement corrigé. J’invite donc tous les utilisateurs à mettre à jour leur version en téléchargeant Mail-it Now! Upload2Server v1.5.1.

Le mode de création des noms de fichiers a été améliorée et rend la devinette beaucoup plus difficile.

Un fichier .htaccess sommaire a également été ajouté dans le répertoire upload afin d’interdire le listage des fichiers.

Je recommande à tous de renommer votre répertoire upload, histoire d’éviter toute mauvaise surprise.

La version 1.5.1 a été mise en ligne hier soir (1er octobre 2005) vers 21h. Tous ceux qui ont téléchargé l’archive après cette date sont donc protégés. Pour les autres, mettez votre version à jour le plus rapidement possible.

Quelle leçon tirer de cette histoire ? Je suis tout d’abord surpris de voir que quelqu’un ait passé du temps à travailler sur le script pour le désosser et trouver une faille à exploiter. J’avoue que je suis flatté.

Par contre, je suis un peu dégoûté que ce hacker qui n’a pas observé les règles de bienséance qui veulent qu’un hacker prévienne l’auteur du script quelques temps avant de rendre la faille publique, pour que ce dernier puisse sortir un correctif rapidement.

Démo de Mail-it Now! – Télécharger Mail-it Now! – Preview de Mail-it Now! v2.0

Ile d’Yeu samedi, biafine dimanche

10 March 202426 septembre 2005 by Matt Biscay · Lecture: 2 minutes

Je suis allé à l’Ile d’Yeu samedi avec une partie de l’équipe pédagogique de mon collège. Au programme : départ de St-Gilles Croix de Vie, balade à vélo jusqu’à midi, pause déjeuner dans une petite crique et retour sur Port Joinville pour reprendre le bateau.

Le soleil étant au rendez-vous, nous sommes partis comme des braves sur nos vélos hollandais loués sur le port, chargés comme des baudets avec nos sacs à dos remplis de victuailles.

La première partie de la balade a été très agréable et nous a donné l’occasion de voir les différentes sortes d’habitations de l’île : petites baraques aux toits de tuiles, cabanons face à la mer… J’ai pourtant été un peu étonné lorsque j’ai vu les couleurs qu’arboraient certains volets et portes : jaune vif ou gris métallisé sur du bois, c’est assez étrange. Cela jure même pas mal avec le bleu breton que l’on rencontre sur d’autres îles.

Nous avons profité de la pause pour aller nous baigner : après une descente dans la crique périlleuse au cours de laquelle je me suis ouvert le plat du pied sur une bernique facétieuse (no comment please!), nous avons pu apprécier la fraîcheur de l’océan qui, grâce à Katrina, remuait au point de faire de la mousse d’écume.

La seconde partie fut un peu plus physique, enfin c’est surtout que le soleil a pas mal tapé. Je m’en suis rendu compte un poil trop tard d’ailleurs… ce n’est lorsque j’ai jeté un coup d’œil dans le rétroviseur que je me suis aperçu que bien des couleurs (rose principalement) j’avais pris. D’où la biafine pendant toute la journée d’hier >_>

Je recommande la visite de l’ïle d’Yeu en vélo car c’est comme ça que vous pourrez en apprécier tous les charmes, tout en allant à votre rythme. La traversée dure une heure, les vélos roulent vraiment bien, le paysage est sympa. Go for it if you get the chance.

Premiers plâtres pédagogiques

22 October 202123 septembre 2005 by Matt Biscay · Lecture: 3 minutes

~~L’avantage~~ La plaie de ne plus avoir Internet, c’est que lorsqu’on allume son micro, on tourne vite en rond parce qu’à part écouter les quelques musiques sauvegardées depuis le dernier format de l’iPod ou les quelques clips rarissimes de votre groupe préféré, tous encodés en 60 KBps avec des rayures qui vous arrachent les yeux, et bien il n’y a pas grand chose à faire..

Finies les petites mises à jour McAfee, la petite dizaine de comptes mails relevés par MailWasher, les mises à niveau des extensions de FireFox… bref, tout fout le camp.

Ce qui m’amène au but de ce post : mes premiers plâtres pédagogiques.

Mes premiers plâtres pédagogiques

Sous ce titre (d)étonnant – et qui claque assez bien IMHO – je regroupe toutes les difficultés auxquelles j’ai été confronté pendant mes 3 premières semaines de cours.

Tout d’abord, il me semble important de souligner que je n’éprouve aucun stress ou pression dans ma classe, ce qui m’a étonné de prime abord mais qui maintenant me conforte dans mon choix de carrière.

La préparation des cours, très laborieuse au début, commence à se faire plus rapidement une fois que je m’y mets vraiment : il faut maintenant que je me réhabitue à me mettre à table et rester concentré dans ce que je fais dans la durée.

Non, ce qui me préoccupe désormais c’est le maintien de l’ordre dans ma classe : j’ai rarement vu une classe aussi indisciplinée que la 4ème qui m’a été confiée et vu la composition de la classe, je soupçonne l’administration de m’avoir fait un “petit cadeau” parce qu’avoir 10 élèves qui mettent le bazar en même temps dans une classe… cela me semble assez peu naturel.

To make a long story short, j’ai un petit problème d’autorité – comme la plupart de mes collègues qui enseignent au collège – sauf que ce problème apparaît principalement le lundi en fin d’après-midi.

J’ai grondé, pris des carnets de liaison, marqué des mots… je me suis renseigné sur la marche à suivre pour la distribution des colles mais je suis quasiment certain que cela est voué à l’échec – sans compter le temps passé à créer des exercices et à les corriger.

Faut-il vraiment en arriver là pour pouvoir faire cours ? Il me semble que nous étions beaucoup plus disciplinés à mon époque. Mais bon, nous avions droit aux punitions corporelles alors forcément…

← Précédent Suivant →