Fork me on GitHub






Vulnérabilités mineures dans Xoops 2.5.x
Supporter Xoops
Inscrit: 09/01/2005 13:37
De Breizh
Messages: 16972
Bonjour,

Une vulnérabilité par "Cross Site Scripting - XSS" viennent d'être découvertes et corrigées dans le module pm et le plugin xoopsimagemanager pour l'éditeur TinyMCE
Vous trouverez une archive avec les correctifs sur ce lien -> http://sourceforge.net/projects/xfr/f ... ops-2.5.4_fr.zip/download

Bien entendu, nous vous invitons à l'appliquer si vous utilisez ce module et éditeur sur votre site

Les packages de Xoops 2.5.4, et de mise à jour à cette version, ont été actualisés pour prendre en compte ce correctif

Posté le : 09/12/2011 02:30

La connaissance s'accroît quand on la partage ...
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Semi pro
Inscrit: 13/12/2004 11:28
De Lyon
Messages: 1364
Bonsoir,

Tu as peut être fait une erreur, mais ton package porte le xoops 2.5.1a quand on le décompresse.
De plus, après avoir vérifier certains fichiers pour le fix sur le XSS, il semble que tu n'ai pas utilisé la version 2.5.4 avec tous les correctifs.

Nicolas

Posté le : 13/12/2011 23:02
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Supporter Xoops
Inscrit: 09/01/2005 13:37
De Breizh
Messages: 16972
???? les fichiers sont ceux de ce "commit" -> http://xoops.svn.sourceforge.net/view ... ew=revision&revision=8446

Security fixes:
- XSS (Cross Site Scripting) vulnerability in PM module and tinymce (High-Tech Bridge Security Research Lab/trabis)

Posté le : 14/12/2011 00:21

La connaissance s'accroît quand on la partage ...
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Semi pro
Inscrit: 13/12/2004 11:28
De Lyon
Messages: 1364
Ah non c'est moi pardon

Posté le : 16/12/2011 23:43
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Supporter Xoops
Inscrit: 09/01/2005 13:37
De Breizh
Messages: 16972
Citation :
MusS a écrit :
Ah non c'est moi pardon

étonnant pour le leader de la dev team core

Posté le : 18/12/2011 11:22

La connaissance s'accroît quand on la partage ...
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Semi pro
Inscrit: 13/12/2004 11:28
De Lyon
Messages: 1364
Non, j'ai tellement d'archive que j'arrive a comparer les mauvaises comme cette fois

Posté le : 20/12/2011 22:01
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Xoops accro
Inscrit: 18/01/2004 17:13
De Ma Caverne
Messages: 2839
bon, au lieu de jouer avec les archives, si vous pouviez régler le pb des dates dans la 2.5.4 qui traine depuis la sortie il y a 1 mois (!!) , et qui foutent une pagaille monstre avec News, Extcal, etc. , ça pourrait être pas mal. Ensuite sortir une release officielle avec le fix de sécurité, ça pourrait être bien, histoire que les sites soient correctement protégés. Merci à kris d'avoir immédiatement pris l'initiative pour les utilisateurs francophones.
thanks a lot
marco

NB : c'est quoi ce binz dans le /Xoopscore rev8520: "Xortify 3.03 (Stable) - Strict Mode Obeyed, Tested on SVN Copy of 2.6.0 - Client…" ?????

Posté le : 20/12/2011 22:15

Trio de choc : FrXoops, FreeboxHD et OVH
MdxProd.com : des liens xoops indispensables
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Aspirant
Inscrit: 02/04/2008 15:00
Messages: 72
Citation :
bon, au lieu de jouer avec les archives, si vous pouviez régler le pb des dates dans la 2.5.4 qui traine depuis la sortie il y a 1 mois (!!) , et qui foutent une pagaille monstre avec News, Extcal, etc. , ça pourrait être pas mal.

Il ya quelque chose de mal avec la version française de XOOPS.

Hier, j'ai testé Nouvelles et eXtCal avec la version allemande et russe de XOOPS, et sur ​​les deux la date a été OK.

Seule la version française semble avoir des problèmes. Quelqu'un pourrait-il se pencher sur la façon de XOOPS a été localisé en français, et quel pourrait être le problème?
------------------
In English:

There is something wrong with the French version of XOOPS.

Yesterday, I tested News and extCal with the German and Russian version of XOOPS, and on both of them the date was OK.

Only the French version seems to have problems. Could somebody look into the way XOOPS has been localized into French, and what could be the problem?

Posté le : 22/12/2011 21:38
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Team FrXoops
Inscrit: 14/05/2004 22:32
Messages: 2554
Bonsoir
Citation :
Il ya quelque chose de mal avec la version française de XOOPS.

ce problème se retrouve dans tous les modules qui gères les dates.
Les dates francaise sont au format jour-mois-annee et xoops ne gère pas bien tout autre format que annee-jour-mois.

pour que les dates soient gérée correctement en tenant compte des spécificités de la langue il faudrait que le composant calendar gère un timestamp unix en entrée et en sortie. après c'est juste un problème de format pour l'affichage.

Pour régler ce problème dans extcal et mes autres modules je vais adapter le composant calendar et faire une version 2 de formtextdateselect.php en ce sens.

JJDai


Posté le : 22/12/2011 22:23

Ne pas perdre patience, même si cela semble impossible, c'est déjà de la patience.
Origami
Conseil des Sages
Sur gitHub
Partager Twitter Partagez cette article sur GG+
Re: Vulnérabilités mineures dans Xoops 2.5.x
Supporter Xoops
Inscrit: 09/01/2005 13:37
De Breizh
Messages: 16972
Pour les dates et le module news, ce sujet sur xoops.org est intéressant -> http://xoops.org/modules/newbb/viewto ... id=343270#forumpost343270

Le souci ne vient pas de LA version française !

Posté le : 23/12/2011 23:39

La connaissance s'accroît quand on la partage ...
Partager Twitter Partagez cette article sur GG+

 Haut   Précédent   Suivant



Vous pouvez voir les sujets.
Vous ne pouvez pas débuter de nouveaux sujets.
Vous ne pouvez pas répondre aux contributions.
Vous ne pouvez pas éditer vos contributions.
Vous ne pouvez pas effacez vos contributions.
Vous ne pouvez pas ajouter de nouveaux sondages.
Vous ne pouvez pas voter en sondage.
Vous ne pouvez pas attacher des fichiers à vos contributions.
Vous ne pouvez pas poster sans approbation.

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

43 Personne(s) en ligne (35 Personne(s) connectée(s) sur Forum) | Utilisateur(s): 0 | Invité(s): 43 | Plus ...