flus.io est opérationnel

Le statut du service n’est pas détecté automatiquement, cette page est donc mise à jour manuellement. Si vous observez une panne qui n’est pas indiquée ici, merci de me le faire savoir.

suivre le statut du service

Maintenance planifiée

Historique des maintenances

Aucune maintenance n’est prévue pour les prochains jours.

Incidents

Correction de 2 problèmes de sécurité

annoncé le 04 août 2021 / permalien

Au début du mois de juillet, 2 problèmes de sécurité m’ont été remontés.

Le premier concernait le mécanisme de réinitialisation de mot de passe. Si un attaquant réussissait à obtenir un lien de réinitialisation (sans l’utiliser) et que l’utilisateur ciblé modifiait lui-même son mot de passe, le lien de réinitialisation restait valide. L’attaquant pouvait ainsi reprendre le contrôle du compte. Le risque était plutôt faible puisque cela signifiait que l’attaquant avait pris, au préalable, le contrôle de la boîte email de l’utilisateur. Aussi, le lien expirait automatiquement au bout d’une heure ce qui limitait d’autant plus le risque. Le lien de réinitialisation est désormais automatiquement rendu invalide suite au changement du mot de passe ou de l’email de l’utilisateur. De plus, l’utilisateur est également déconnecté de ses autres appareils pour s’assurer qu’un attaquant ne conserve pas lui-même une session ouverte.

Accéder au commit de correction

Le second problème de sécurité concernait la possibilité pour un attaquant d’intégrer Flus à un site externe via un mécanisme d’iframe. Cela pouvait permettre à l’attaquant de se faire passer pour Flus tout en ajoutant du code malveillant par-dessus (i.e. attaque par détournement de clic). J’ai considéré le risque comme étant plutôt faible. De plus, Flus étant un logiciel libre, il est toujours possible d’en créer une copie conforme. J’ai tout de même fait en sorte d’interdire les intégrations par iframe.

Accéder au commit de correction

Ces deux problèmes présentant des risques faibles, j’ai décidé de repousser leur correction à la fin de mes vacances et de ne pas publier d’article à part entière sur le carnet.

Je remercie Rishabh Pardeshi pour me les avoir remontés.

Serveur hors-service

annoncé le 18 mai 2021 / permalien

Mise à jour de 18h15 : finalement, il s’agissait simplement du système de fichiers du disque qui était corrompu. J’ai pu résoudre le problème grâce à la commande fsck. Le problème est donc résolu.


Mise à jour de 17h55 : il semblerait que le disque n’ait pas totalement disparu… seulement le partitionnement du disque (ce qui n’est pas beaucoup mieux). J’ai contacté le support de Hetzner pour en savoir plus. S’il s’avère que j’ai effectivement perdu les données du disque, la dernière sauvegarde date de 14h25 (un moindre mal).


Les services flus.fr et flus.io sont hors-service depuis environ 17h. Il semblerait que le disque dur sur lequel se trouve les données de la base de données ne soit plus accessible par le serveur. La raison exacte est encore inconnue. Je suis en train d’investiguer pour en savoir plus.

Serveur de courriels hors-service

annoncé le 10 mars 2021 / permalien

Edit de 12h15 : Le nouveau serveur de courriels est en place, tout devrait désormais fonctionner à nouveau !


Suite à un incendie dans le datacenter SBG2 de OVH, le serveur de courriels utilisé par Flus (SBG3) a été arrêté. L’incendie a été annoncé cette nuit à 3h42 et a été maitrisé à 7h20.

Les courriels suivants ne sont plus envoyés :

Les services flus.io et flus.fr continuent de tourner puisqu’ils sont hébergés ailleurs et ne sont pas impactés par l’incident.

Si vous avez besoin de me contacter, vous pouvez le faire sur :

Je travaille à remettre un serveur de courriels sur pied.

Bug empêchant les inscriptions

annoncé le 16 janvier 2020 / permalien

Suite à une mise à jour de FreshRSS, un bug a été introduit empêchant l’inscription de nouveaux et nouvelles utilisateurices. Le problème m’a été remonté hier soir (15 janvier à 20h30) sur Mastodon et pris en compte ce matin (16 janvier à 8h25) par l’annulation du commit fautif.

Un patch a ensuite été écrit et proposé upstream.

Perte de la connexion avec la base de données

annoncé le 17 décembre 2019 / permalien

Entre 15h20 et 15h50 aujourd’hui, Flus n’arrivait plus à se connecter à la base de données. Le problème a été résolu en relançant PostgreSQL ainsi que le service PHP. Malheureusement aucun log ne m’a permis de remonter à la source. Je continue de chercher pour comprendre l’origine du problème.

Articles non actualisés

annoncé le 29 novembre 2019 / permalien

Certains utilisateurs et utilisatrices pouvaient ne pas avoir leurs articles rafraichis régulièrement. Le problème venait d’un bug lié à la vérification des adresses courriels (le script chargé d’actualiser les articles se terminait directement si un utilisateur n’avait pas validé son adresse).

Un patch temporaire a été proposé en amont (référence #2694) et a déjà été mis en production. Une solution plus robuste sera proposée par la suite.