Vincent Lecomte
[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

[WordPress] L’extension Ninja Forms également touchée par plusieurs failles de sécurité

L’un des avantages de WordPress, c’est la possibilité d’installer des extensions pour en étendre les fonctionnalités. En 2019 on en comptait plus de 55.000 rien que dans le dépôt officiel. Et parmi celles-ci la populaire extension Ninja Forms fait parler d’elle. En effet c’est via Clubic que nous apprenons qu’elle est touchée par plusieurs failles de sécurité.

wordpress ninja forms failles

Pour ceux qui ne connaissent pas cette extension, Ninja Forms est en fait un gestionnaire de formulaires pour vos sites (exemple basique : pour créer facilement une page de contact pour vos visiteurs). D’après la page descriptive, il y aurait plus d’un million d’installations actives.

Les failles découvertes sont au nombre de quatre, et sont très bien détaillées par le site Threatpost. La première permettrait d’intercepter le trafic des e-mails envoyés via SendWP. Cela fait repenser au bug qui avait été découvert dans l’extension Easy WP SMTP Settings. Nous en parlions il y a quelques semaines. Le score CVSS de cette vulnérabilité est de 9.9 sur 10.

Ensuite deux failles concernent l’outil de gestion des modules complémentaires, intégré à Ninja Forms. L’une d’entre elle permettrait de mettre fin à une connexion autorisée via OAuth. Enfin, la dernière faille – considérée comme moyennement grave avec un score CVSS de 4,8 – permettrait de rediriger aisément un utilisateur vers une URL malveillante après sa connexion.

Un correctif rapide

Heureusement tous ces problèmes seraient résolus depuis la version 3.4.34.1 publiée le 8 février 2021. Depuis l’extension a reçu d’autres mises à jour. Les statistiques nous montrent qu’actuellement 64,2 % des versions actives sont en 3.4 (sans spécifier le numéro précis). 13% d’entre elles sont en version 3.2 ou inférieur. Cela fait donc potentiellement un paquet de sites vulnérables.

Si vous utilisez WordPress et en particulier Ninja Forms, vérifiez vite les mises à jour, sauf si vous avez activé l’automatisation de celles-ci pour vos extensions (ce qui peut être utile dans ce cas précis). De manière générale il est bon de rappeler de faire attention à ce que vous installez. Par exemple, une extension ou un thème dont le développement n’est plus suivi, pourrait être problématique.

Sources

[Info] Nouvelle section “Archives” et logithèque plus complète

[Info] Nouvelle section “Archives” et logithèque plus complète

Ces derniers temps je n’ai pas été très actif sur le blog mais j’ai profité de ce lundi de congé pour compléter la logithèque mais aussi modifier le fonctionnement des archives. Découvrons ensemble ces nouveautés !

fonctionnement archives logithèque

Attardons-nous d’abord sur les fameuses archives. Dans la colonne de droite, vous constaterez qu’une liste déroulante reprend le nombre d’articles publiés par mois, dans l’ordre décroissant. Cependant celle-ci était devenue un peu longue et cela gâchait un peu l’expérience de navigation. La liste en question a donc été allégée pour n’afficher que les 36 derniers mois avec du contenu.

Un lien a été ajouté juste en dessous et permet de vous rendre sur la page “Archives par mois“. Elle reprend toujours le nombre d’articles mais cette fois jusqu’au mois de création du blog, c’est-à-dire… août 2010. Et dire que j’ai oublié d’en fêter ses dix années… j’ai un peu honte je vous l’avoue.

Passons maintenant à la logithèque. Si aucune révision des catégories principales du menu n’a été effectuée, j’en ai profité pour ajouter quelques logiciels. Citons par exemple Rufus, un outil de création de clés USB démarrables. Vous retrouverez aussi de nouveaux outils d’analyse pour vos disques (CrystalDiskMark et CrystalDiskInfo notamment), des librairies Java et JS pour le développement, etc.

Comme d’habitude je vous invite à commenter et partager vos remarques et vos suggestions. Je profite également de cet article pour m’adresser à vous un peu plus personnellement et ainsi vous dire courage pour la période actuelle qui n’est pas facile pour tout le monde.

[NAS] Créer un dossier partagé pour votre Nvidia Shield TV

[NAS] Créer un dossier partagé pour votre Nvidia Shield TV

Une fonctionnalité intéressante proposée par le boitier multimédia est le fait de pouvoir monter des emplacements réseau. Votre Shield pourra ainsi aller lire et récupérer des fichiers sur ceux-ci. Dans ce tutoriel nous allons voir comment créer un dossier partagé sur votre NAS pour votre Nvidia Shield TV, comment l’ajouter sur celle-ci et en parcourir le contenu.

Pour les exemples repris dans ce dossier je dispose d’un NAS Synology DS920+ sous DSM 6.2.3 update 3. Ma Shield TV 2019 format “Tube” possède le dernier firmware, à savoir la version 8.2.2.

Créer un utilisateur sur le NAS

Au préalable il vous faudra créer un utilisateur sur votre NAS. Ouvrez un navigateur et accédez à DSM. Lancez ensuite le panneau de configuration puis choisissez la catégorie Utilisateur. Cliquez sur le bouton Créer. Donnez un nom – par exemple “shield” – et définissez un mot de passe.

utilisateur nvidia shield tv

Sur les écrans suivants :

  • Indiquez l’appartenance au groupe : choisissez users.
  • Déterminez les accès aux dossiers partagés existants. Par défaut aucun accès ne sera appliqué.
  • Déterminez le quota autorisé par dossier. Dans notre cas cela n’a pas d’intérêt car la Shield ne pourra pas écrire sur l’emplacement monté.
  • Attribuez les permissions liées à l’utilisation des applications. Comme il s’agit d’un utilisateur pour votre boitier multimédia, il n’y a pas d’intérêt à donner les accès à DSM voire au FTP. Vous pouvez donc refuser pour l’ensemble des applications proposées.
  • Lorsque le résumé s’affiche, vérifiez l’ensemble des informations et si cela vous semble bon, confirmez le processus de création.

Créer un dossier partagé

Toujours sur votre NAS vous devez maintenant créer un dossier partagé.

Depuis le panneau de configuration vous devez cette fois vous rendre dans Dossier partagé sur la gauche. Ensuite cliquez sur le bouton Créer. Donnez un nom à votre dossier (par exemple “Shield”) et confirmez avec les paramètres par défaut.

dossier nvidia shield tv

Il est important de ne pas cocher la case “Cacher ce dossier partagé dans Mes emplacements réseaux”. En effet le dossier sera alors invisible et la connexion échouera.

Une fois le dossier créé nous allons lui attribuer les permissions d’accès. Sélectionnez le dossier fraichement créé puis cliquez sur le bouton Modifier puis sur l’onglet Permissions. Dans cet onglet vous pouvez définir les accès pour des utilisateurs mais aussi pour des groupes. Choisissez les personnes qui pourront déposer du contenu dans ce dossier. Choisissez la lecture seule pour l’utilisateur “shield” créé ci-dessus.

Confirmez par OK et passez à l’étape suivante.

Vérifier la configuration de SMB

Afin d’éviter tout problème de connexion, il est recommande de vérifier votre configuration de SMB sur votre NAS. Cela se fait toujours depuis le panneau de configuration. Rendez-vous dans la catégorie Services de fichiers. Dans un précédent article c’était ici même que nous activions le protocole NFS pour Kodi.

Pour SMB, nous avons tout laissé par défaut (groupe de travail = WORKGROUP, accès autorisé aux versions précédentes). Vous pouvez également vérifier les Paramètres avancés.

Pour une utilisation basique toutes les options de cette fenêtre doivent rester décochées. Nous avons défini la version SMB3 comme protocole maximum et SMB2 en tant que protocole minimum. Le mode de chiffrement du transport reste sur la valeur Automatique.

Une fois que tout ceci est vérifié, cliquez sur le bouton Appliquer (sauf si rien n’a été modifié).

Monter le stockage sur votre Shield

Sur votre Nvidia Shield, accédez aux paramètres via la roue crantée en haut à droite de l’écran d’accueil. Cela ouvre les paramètres en superposition.

Ensuite effectuez les opérations suivantes :

  • Accédez aux Préférences relatives à l’appareil.
  • Ouvrez la catégorie Stockage.
  • Choisissez l’option Monter un stockage réseau.
  • Si tout s’est bien passé votre NAS devrait être repris dans la liste.
    • Si c’est le cas choisissez le NAS puis “Se connecter en tant qu’utilisateur inscrit“. Saisissez le nom d’utilisateur et le mot de passe.
    • Si ce n’est pas le cas, utilisez l’option “Ajouter manuellement un stockage réseau
      • Saisissez à la première étape, le chemin du dossier (ex : \\mon-nas\Shield)
      • La seconde étape vous demande le groupe de travail : WORKGROUP (voir la configuration de SMB sur votre NAS)
      • Choisissez ensuite de vous connecter en tant qu’utilisateur inscrit. Saisissez le nom d’utilisateur et le mot de passe.
  • Si l’une des étapes ci-dessus a fonctionné, le stockage réseau devrait apparaitre dans la liste avec la mention “Connecté“. Si ce n’est pas le cas, revérifiez si toutes les étapes de ce tutoriel ont été suivies à la lettre.

Voilà, maintenant que vous possédez toutes les informations nécessaires pour créer un dossier partagé pour votre Nvidia Shield TV, il faut maintenant installer une application pour en explorer le contenu. Pour ma part j’ai choisi X-plore. Elle est disponible sur le Play Store. Elle permet également d’accéder à un service de cloud tel que OneDrive.

[Jeux vidéo] Epic déploie un correctif pour le bug d’utilisation élevée du CPU

[Jeux vidéo] Epic déploie un correctif pour le bug d’utilisation élevée du CPU

Avec la mise à jour 11.0.2, Epic déploie un correctif pour le bug d’utilisation élevée du CPU de son magasin applicatif. C’est Hot Hardware qui signalait le problème le jour de Noël. En effet l’application Epic Games Store présentait une utilisation anormale du CPU même lorsque aucune tâche n’était en cours.

Le site qui remonte l’information a été en mesure de reproduire le problème. Lors de leurs tests, la température de leur processeur – bien refroidi – a grimpé jusqu’à 53°C avec une utilisation d’environ 2%, celle-ci étant répartie sur les 16 cœurs.

epic correctif bug cpu

Le bug semblait toucher principalement les modèles récents de processeurs AMD tels que le Ryzen 7 5800X. Cependant quelques propriétaires de CPU de la marque concurrente ont confirmé avoir le souci sur leur machine.

Hier, via son compte Twitter, le développeur Sergiy Galyonkin annonçait la disponibilité d’un correctif. Toutefois il précise que d’autres mises à jour seront nécessaires. Selon lui la nouvelle version devrait significativement améliorer la situation.

Malheureusement aucune explication n’a encore été donnée concernant les données envoyées. Le site Hot Hardware – encore lui – a souligné que l’application envoie près de 514 Ko de données en une heure, sur différents serveurs.

C’est 14x plus que ce que transmettent en arrière-plan les applications Steam et Nvidia GeForce Experience, sur un même intervalle de temps. Il faudra éclaircir la situation afin de déterminer pourquoi la plate-forme, habituée à distribuer gratuitement des jeux (comme ce fut le cas pour GTA V), récupère une si grande quantité de données.

Sources

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

[WordPress] Découverte d’une faille dans l’extension Easy WP SMTP Settings

WordPress est un CMS – Content Management System, ou “Système de gestion de contenu” en français – largement utilisé sur de nombreux sites. Il offre notamment aux utilisateurs la possibilité d’installer des extensions développées par des tiers. Celles-ci ne sont pas toujours sans défaut. C’est en tout cas ce qu’a démontré la découverte d’une faille dans l’extension Easy WP SMTP Settings, heureusement déjà corrigée.

faille plugin smtp

Comme son nom le suggère, l’extension permet aux propriétaires de leur site de configurer les paramètres pour l’envoi d’e-mail. Cela concerne notamment ceux envoyés par WordPress. Par exemple, quand un utilisateur veut réinitialiser son mot de passe, un lien est généré puis transmis à l’utilisateur par e-mail.

C’est malheureusement à cause de ceux-ci que des personnes mal intentionnées ont été capables d’intercepter les liens et réinitialiser les mots de passe de comptes. En effet, dans la version 1.4.2 (et inférieures) le dossier de l’extension ne contient pas de page “index.html” ou similaire. Cela a pour conséquence de permettre l’affichage du contenu du dossier si la fonctionnalité est active sur le serveur.

Il est ainsi possible d’accéder à un fichier journal, qui contient toutes les traces d’envoi des mails. Il reprend évidemment le contenu de ceux-ci. Ainsi il ne reste plus qu’à récupérer les liens de réinitialisation… et le tour est joué !

L’auteur de l’extension a d’ores et déjà corrigé le problème dans la version 1.4.4 d’après les notes de version. On soulignera cependant que le nombre d’installations actives est de plus de 500.000. Si vous consultez la vue avancée sur la page de description de l’extension, vous pourrez constater que 43% de versions actives sont en 1.3, ce qui est relativement inquiétant. Cela signifie que de nombreux sites sont encore vulnérables aux attaques.

Si vous utilisez donc cette extension sur votre site, procédez rapidement à sa mise à jour!

Sources

[Java] Mémo – Trucs et astuces impliquant l’API Stream

[Java] Mémo – Trucs et astuces impliquant l’API Stream

Java propose l’API Stream, qui permet de manipuler et effectuer des opérations sur un ensemble de données, telles qu’une collection, un tableau ou même un flux I/O. Elle offre diverses possibilités : tri, parcours de collections, extraction d’éléments à l’aide de filtres, etc.

Dans cet article nous allons voir comment effectuer un tri basique pour retourner une nouvelle liste mais également comment retourner une liste d’objets d’un type spécifique.

Trier une liste

On suppose que l’opération sera effectuée sur une liste d’objets de la classe Client. Cette dernière définit plusieurs membres dont un numéro de client (numClient) et son getter. Nous souhaitons récupérer une nouvelle liste de noms.

listeClients.stream()
	.sorted(Comparator.comparing(Client::getNumClient))
	.map(lo_c -> lo_c.getNomClient())
	.collect(Collectors.toList());

Dans cet exemple nous avons effectué plusieurs opérations sur le stream :

  • Une opération intermédiaire de tri, grâce à la méthode sorted() qui reçoit en paramètre un Comparator.
  • Une seconde opération intermédiaire qui permet de définir ce que l’on souhaite récupérer, en l’occurrence le nom de la personne.
  • Une troisième opération, finale cette fois, qui consiste en une réduction: on demande à ce que le résultat soit sous forme de liste.

Notez que si vous manipulez une List vous pouvez la trier directement à l’aide de la méthode sort(). La méthode effectue l’opération sur la liste existante sans en créer une copie de celle-ci.

Exemple:

listeClients.sort(Comparator.comparing(Client::getNumClient));

Retourner une liste d’un type spécifique

Comme on l’a vu ci-dessus, à l’aide de la méthode map(), on a obtenu une liste de chaines de caractères. Voyons comment aller plus loin pour retourner une liste d’un type spécifique. Toujours sur base d’un client, nous avons une classe nommée ClientDTO qui sera une version réduite. Elle contiendra uniquement le numéro de client et son nom, ainsi qu’un constructeur prenant en paramètre ces deux champs.

listeClients.stream()
	.sorted(Comparator.comparing(Client::getNumClient))
	.collect(Collectors.mapping(lo_c -> {
		return new ClientDTO(
			lo_c.getNumClient(), lo_c.getNomClient()
		);
	}, Collectors.toList()));

Cette fois on effectue un mappage à l’aide de Collectors.mapping(): la fonction en paramètre retourne une instance de ClientDTO avec les champs de notre classe Client. On demande ensuite à ce que le résultat final soit retourné sous forme de liste, comme dans l’exemple ci-dessus.

Bien sûr ce sont deux exemples parmi tant d’autres, l’API offrant énormément de possibilités. Et même si cela a été introduit dans Java 8 on n’a pas toujours la possibilité ou le temps d’en explorer les différentes méthodes. Voici quelques liens qui pourraient vous intéresser pour creuser le sujet:

Bon développement !

[Info] Nouvelles pages concernant Windows

[Info] Nouvelles pages concernant Windows

Ces derniers temps je n’ai pas été très actif sur mon blog, mais j’en ai tout de même profité pour créer de nouvelles pages concernant Windows.

Nouvelles pages concernant Windows

En effet, on se retrouve souvent à rechercher une ou l’autre commande, ou bien un raccourci clavier nous échappe. Au fil du temps la mémoire nous fait défaut. C’est pour cette raison que deux nouvelles pages ont vu le jour.

Comme leur nom l’indique, elles reprennent des listes non exhaustives des raccourcis et commandes disponibles sous Windows.

J’espère vous permettre de trouver ce que vous cherchez. Notez que vous retrouverez également celle-ci dans le menu Ressources.

[Dossier] Comment créer un partage NFS sur Synology pour Kodi

[Dossier] Comment créer un partage NFS sur Synology pour Kodi

Comme je vous l’avais dit j’ai récemment acquis un NAS (un DS920+). Il me sert à stocker des documents mais également des vidéos que je lis sur Kodi, depuis une box Android fournie par Proximus. Pour ce faire j’ai suivi un tutoriel (que je ne parviens pas à retrouver, désolé pour les sources) afin de créer un partage NFS sur mon Synology.

Le principal avantage d’utiliser NFS avec Kodi, c’est le fait de ne pas devoir saisir de mot de passe pour ajouter le dossier. Théoriquement ce protocole est aussi plus rapide que SMB.

Activer le protocole NFS

Connectez-vous tout d’abord à DSM. Ensuite accédez au panneau de configuration, et choisissez Service de fichiers.

activer nfs

Dans le premier onglet “SMB/AFP/NFS“, descendez tout en bas et cochez la case “Activer NFS“.

Cliquez ensuite sur le bouton Appliquer.

Créer un dossier partagé

Vous allez maintenant créer un partage NFS sur votre Synology. Pour cela il vous faut d’abord un dossier partagé. Pour ce faire, toujours sous DSM, ouvrez le panneau de configuration dans la section Dossier partagé et cliquez sur Créer.

créer partage nfs synology

Créez un dossier qui sera destiné à recevoir vos vidéos. Par exemple, vous pouvez créer deux dossiers différents pour vos films et séries. Inutile de s’attarder sur les options proposées. Désactivez la corbeille si vous ne la jugez pas nécessaire.

Une fois le dossier créé, n’oubliez pas de définir les permissions. Sélectionnez le dossier et cliquez sur Modifier.

créer partage nfs synology

Définissez d’abord les permissions pour les accès des utilisateurs. Ouvrez ensuite l’onglet “Autorisation NFS” et cliquez directement sur le bouton Créer. Notez que par défaut la liste des règles est vide.

créer partage nfs synology

Dans la fenêtre qui s’ouvre, il faudra spécifier les paramètres du partage.

créer partage nfs synology

Il faut définir les informations suivantes:

  • Le nom d’hôte ou l’IP : il peut s’agit d’un nom, d’une adresse IP seule ou même d’un sous-réseau. Comme nos clients ont une IP qui commence par 192.168.x.x, on peut définir le masque 192.168.0.0/16 ce qui couvre les adresses de 192.168.0.1 à 192.168.255.254. Le CNRS CRIC de Grenoble fournit un outil en ligne pour calculer les masques IPv4.
  • Les privilèges : dans notre cas on autorisera seulement en lecture seule. Il ne sera ainsi pas possible de supprimer des fichiers ou en ajouter via le protocole NFS.
  • Le squash : choisissez l’option “Mapper tous les utilisateurs sur admin” pour éviter les problèmes d’accès aux dossiers.
  • La sécurité : laissez “sys” par défaut.

Ensuite cochez toutes les options dont l’accès asynchrone.

Confirmez deux fois par OK.

Ajouter une source vidéo dans Kodi

Lancez maintenant Kodi pour ajouter une source vidéo.

Rendez vous dans les Paramètres, puis dans la catégorie Médias (Attention que votre interface peut être différente en fonction du thème que vous utilisez). Sous le libellé “Gestion des sources“, choisissez “Vidéos…

kodi ajout source
Kodi va lister les sources présentes. Choisissez l’option “Ajouter une source” puis directement “Parcourir“.

kodi partages

Dans la liste il faut sélectionner Protocole réseau de fichiers (NFS).

Un petit délai pourra être constaté avant l’affichage des différents périphériques. Ensuite l’IP de votre NAS devrait apparaitre dans la liste.

kodi ajout nfs

Naviguez jusqu’au dossier que vous voulez choisir comme source. Ouvrez celui-ci afin que le chemin affiché en bas soit équivalent à celui du répertoire contenant vos vidéos (ex : nfs://192.168.1.2/MesVideos/). Appuyez ensuite sur OK.

Pour le reste, c’est comme d’habitude : il faudra donner un nom de source et définir ce qu’elle contient (des films, des séries, des concerts, ou même de la musique, ça fonctionne aussi).

Vous savez désormais comment créer un partage NFS sur votre Synology et l’ajouter à Kodi. Bon visionnage !

Liens

[JS] Récupérer le contenu d’un éditeur tinyMCE

[JS] Récupérer le contenu d’un éditeur tinyMCE

Si vous ne connaissez pas encore tinyMCE, il s’agit d’un éditeur WYSIWYG que vous pouvez intégrer à vos sites. Il est notamment très connu grâce à son utilisation dans WordPress. L’édition Community est gratuite mais il existe également des offres avec support et plugins premium.

Pour une raison ou une autre vous souhaitez peut-être récupérer le contenu d’un éditeur initialisé avant de l’envoyer au serveur. Cela est évidemment possible ! Bien que cet article serve avant tout de mémo il va également vous aider à ne pas plonger dans les méandres de l’énorme documentation de la librairie. Voyons ensemble comment procéder.

Obtenir l’instance d’éditeur

Il faut tout d’abord récupérer l’éditeur souhaité avec la méthode tinymce.get(). Celle-ci reçoit une chaine de caractères représentant l’identifiant du champ qui a servi pour l’initialisation de tinyMCE.

Supposons que vous partiez d’un champ de type textarea, avec l’attribut “id” contenant simplement “myTinyEditor” :

var med = tinymce.get('myTinyEditor');

Cela renverra l’instance de l’éditeur, sinon null s’il n’a pas encore été initialisé.

Récupérer le contenu de l’éditeur

Sur l’instance de l’éditeur que vous venez de récupérer, il suffit d’utiliser getContent() pour retourner le contenu au format “brut” (donc en HTML, qui est généré par tinyMCE).

var contHtml = med.getContent();

Remarque: si le champ est vide, c’est bien une chaine vide que vous obtiendrez.

Vous savez désormais comment récupérer le contenu d’un éditeur tinyMCE, bravo !

A lire également…

[JS] Personnaliser la liste de styles dans tinyMCE

Dans l’éditeur tinyMCE, lorsqu’on choisit de dérouler le menu de sélection du format, on dispose d’éléments par défaut comme les en-têtes (h1 à h6), l’alignement ou bien même la mise en forme classique comme le “gras”, “souligné” ou “italique”. Ce menu peut être personnalisé de différentes manières. La méthode la plus simple reste de redéfinir […]

0 commentaire

Sources

Tout est bien décrit dans la documentation de référence.

[Hardware] Compilation de tests du GPU Nvidia GeForce RTX 3080

[Hardware] Compilation de tests du GPU Nvidia GeForce RTX 3080

Après plusieurs mois d’attente et de news concernant la nouvelle architecture Ampere de Nvidia, il est désormais temps de faire le plein de tests concernant la RTX 3080 Founders Edition.

compilation tests nvidia 3080Image officielle (c) Nvidia

Plutôt que de rentrer dans les détails et expliquer les nouveautés apportées par l’architecture, ce que font très bien les sites spécialisés, cet article se contentera de faire office de compilation de tests de la Nvidia GeForce RTX 3080.

La presse est unanime : la RTX 3080 et son architecture apportent quelques belles évolutions, des performances très intéressantes en haute résolution ainsi qu’une belle amélioration du raytracing et du DLSS.

Sont parfois pointées du doigt la quantité de mémoire, la consommation et la température maximale. Pour espérer mieux concernant la chauffe et le refroidissement il faudra se tourner vers des modèles dits “custom“.

Un autre point positif ? Le positionnement tarifaire est très bon pour ce lancement. En effet pour un prix similaire à celui d’une RTX 2080 SUPER vous obtiendrez une carte graphique bien meilleure. La Founders Edition sera disponible à la vente au prix de 719 € à partir de ce 17 septembre 2020, sur le site de Nvidia.

Liens vers les tests

Retrouvez ci-dessous les liens vers les différents tests, en français comme en anglais:

Alors… Prêt à craquer ?

Copy link