Faille de sécurité : mise à jour embêtante

Faille de sécurité : mise à jour embêtante

par Denis Guiziou,
Nombre de réponses : 5

Bonjour,

Mon collègue de la sécurité informatique m'a signalé cette faille pour Moodle :

https://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-561/

Pour notre site, il nous faudrait ainsi passer de 3.1.1 en 3.1.15 au minimum pour le sécuriser.

Cependant, comme on a fait chez nous pas mal de petites modifications au niveau du code php, y'a-t-il moyen de savoir quelle(s) page(s) php sont concernées par cette faille de façon à n'appliquer la mise à jour de Moodle qu'à ces pages php ?

Merci

Cordialement

Denis



Moyenne des évaluations  -
En réponse à Denis Guiziou

Re: Faille de sécurité : mise à jour embêtante

par Séverin Terrier,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Denis,

Les notes de mise à jour de Moodle 3.1.15 t'indiqueront des éléments utiles, notamment dans la rubrique sécurité, qui pointe vers MSA-18-0020: Login CSRF vulnerability in login form.

De là, tu peux trouver les changements apportés sous forme de commit de Git.

D'ailleurs, si vous voulez modifier votre code source Moodle, tout en étant capable d'effectuer les mises à jour (sans que cela pose trop de problèmes), je vous conseillerait d'utiliser Git.

Ou a minima de bien noter de manière centralisée toutes les modifications que vous effectuez (avec leur utilité), afin de pouvoir les répercuter lors des mises à jour !

Séverin

PS : étant en 3.1.1, vous devez certainement avoir plein d'autres failles. Tu devrais lire toute l'évolution de cette branche 3.1

Moyenne des évaluations  -
En réponse à Denis Guiziou

Re: Faille de sécurité : mise à jour embêtante

par Denis Guiziou,

Bonjour Séverin (et Olivier dont il m'avait semblé avec vu une réponse),

Merci pour vos réponses. Dans un premier temps je vais suivre vos indications. Je n'hésiterai pas à revenir vers vous en cas de besoin.

Concernant les modifications, effectivement j'ai tout noté (enfin j'espère !) d'autant plus que je ne travaille qu'occasionnellement sur la plateforme Moodle. En fait, au départ, suite à l'entrain suscité par la plateforme Moodle, ma collègue de la formation m'avait demandée pas mal de petites modifications : çà s'est calmé depuis, heureusement ! Si cela répond dans l'ensemble à ce qu'elle souhaitait, il est vrai que point de vue mise à jour c'est pas top ... incertain A déconseiller donc !

Cordialement

Denis


Moyenne des évaluations  -
En réponse à Denis Guiziou

Re: Faille de sécurité : mise à jour embêtante

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Denis,

Ici encore une illustration de ce que la communauté recommande de ne surtout faire qu'en dernière extrémité : éviter de modifier le code de Moodle !!!

Il est préférable de développer un plugin, de "jouer" avec des règles CSS,... mais très occasionnellement modifier le code.

Si toutefois il fallait reprendre une version (lourdement) modifiée, la démarche suivante pourrait aider à retrouver toutes traces de ces changements :

  • récupérer la même version de Moodle + plugin tiers éventuels ;
  • faire une comparaison avec le code de la version actuellement en usage (des outils comme diff sous linux, ou Winmerge sous Windows) ;
  • reporter les modifications sur la nouvelle version.

Je ne dis pas que c'est une opération facile et sans risque. Il faudra notamment être vigilent sur les évolutions des librairies. Mais surtout, il faudra répéter ces opérations à chaque mises à jour ce qui devient rapidement laborieux et induit une inertie dans les montées de version.

Bon courage ! incertain

A bientôt,
Patrick

Moyenne des évaluations Utile (1)
En réponse à Patrick Lemaire

Re: Faille de sécurité : mise à jour embêtante

par Séverin Terrier,
Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour,

On retrouve également l'intérêt de prendre le temps de signaler officiellement, via le traqueur de bogues, les évolutions que l'on souhaiterait voir intégrer dans Moodle.

Avec un peu de lobbying et de temps, on fini par en voir certaines intégrées, et du coup, on a moins de personnalisation de code à effectuer.

Pour ma part, il y a plusieurs (petites) modifications de codes que je devais faire il y a quelques années, qui ne sont plus nécessaires maintenant (par exemple pour définir certaines valeurs par défaut pour des activités).

Séverin

Moyenne des évaluations  -
En réponse à Denis Guiziou

Re: Faille de sécurité : mise à jour embêtante

par Denis Guiziou,

Bonjour Patrick et Séverin,

Merci pour le remontage de bretelles langue tirée : si çà peut servir à d'autres.

En procédant comme indiqué par Patrick, avec le répertoire d'origine de la 3.1.1, et en comparant les dates de modifications des fichiers, j'ai trouvé environ 25 fichiers php qui auraient été bidouillés : je pensais en avoir plus, c'est déjà çà. Par expérience, j'avais aussi délimité dans le code php, les parties que j'ai modifiées par // >>> et // <<<, cela devrait m'aider à les retrouver plus facilement.

Je vais peut-être aussi essayer d'utiliser un peu plus traqueur de bogues comme le suggère Séverin mais je doute que notre formatrice attende si longtemps ...

En attendant, encore merci pour vos conseils avisés sourire

Cordialement

Denis




Moyenne des évaluations Utile (1)