Alerte sécurité : --MAJ-- Désactivez l'upload d'avatar - XOOPS - Articles - Communauté Francophone des Utilisateurs de Xoops

Inscription

Alerte sécurité : --MAJ-- Désactivez l'upload d'avatar	14	200508 Mars
philou XOOPS 6985
Mis à jour le 09/03/05 Une Vulnérabilité a été rapportée dans le noyau de XOOPS qui autorise les membres à uploader des scripts malicieux sur le serveur web. La vulnérabilité se trouve dans l'upload des avatars personnalisés et tant que nous n'avons pas vu toutes les conséquences et remèdes de cet exploit, nous demandons à TOUS les administrateurs de site XOOPS de DESACTIVER LES UPLOAD D'AVATARS PERSONNALISES dans Admin Systeme -> Preferences -> Paramètres utilisateurs -> "Autoriser l'upload d'avatars" DE LA MEME MANIERE, n'autorisez pas l'upload d'image via le gestionnaire d'images. Dans Menu Administration -> Admin Systeme -> Images editer chaque categorie et ne pas autoriser les groupes utilisateurs non sûrs à uploader des images. Nous vous tiendrons informé dès la publication du patch de sécurité empéchant cet exploit. XOOPS Core Team MISE A JOUR: Un patch est disponible. Si aucun problème spécifique n'est rencontré après des essais plus approfondis, il sera disponible demain. En attendant, les personnes qui peuvent le tester et nous faire part de leur avis seront les bienvenues. Pour l'installer, téléchargez les deux fichiers suivants dans le répertoire /class/ de votre XOOPS : uploader.php mimetypes.inc.php Les mises à jour de Source Forge viewcvs sont faites régulièrement, mais vous pouvez avoir à attendre encore quelques minutes avant que le fichier devienne disponible. Alternativement, les personnes avec un acces CVS anonyme peuvent le récupérer directement dès à présent. skalpa.> (avec l'aide appréciable de php_pp :)
Note: 0.00 (0 votes) - Noter cet article -

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.

Régulier Inscrit le: 04/02/2003 De: Rennes Contributions: 110		gnomezero Posté le: 08/03/2005 22:33 Mis à jour: 08/03/2005 22:33 Re: Alerte de sécurité : Désactivez l'upload d'... Merci pour l'info! ~~~>relayée~~~>!

	Anonyme Posté le: 08/03/2005 22:34 Mis à jour: 08/03/2005 22:34 Re: Alerte de sécurité : Désactivez l'upload d'... Est ce que ça signifie que les modules qui utilisent la fonction xoops pour uploader les images sont concernés ?

Aspirant Inscrit le: 04/02/2003 De: Toulouse, France Contributions: 47		DaBoyz Posté le: 08/03/2005 23:06 Mis à jour: 08/03/2005 23:06 Re: Alerte de sécurité : Désactivez l'upload d'... Est-ce à dire que ce problème touche toutes les versions ?

Semi pro Inscrit le: 09/06/2004 De: derrière mon ècran... si si j'vous jure... .. . Contributions: 1788		kankrelune Posté le: 08/03/2005 23:11 Mis à jour: 08/03/2005 23:14 Re: Alerte de sécurité : Désactivez l'upload d'... @ Loudo => Faut croire que oui puisque ça touche le manager d'images... .. . Un truc con mais imparable (à ce qu'on m'a dit) pour voir si le fichier uploadé est une image ou pas (même si l'extension est bonne) c'est de vérifier que la largeur/hauteur n'est pas à 0... car si l'extension et le mîme type peuvent être falsifié seul les images ont une hauteur et une largeur... .. . @ Daboyz => je pense... .. . @ tchaOo°

Admin Frxoops Inscrit le: 04/02/2003 De: Blois Contributions: 3071		philou Posté le: 08/03/2005 23:40 Mis à jour: 08/03/2005 23:40 Re: Alerte de sécurité : Désactivez l'upload d'... sauf que les dimensions sont parfois fantaisistes

Semi pro Inscrit le: 09/06/2004 De: derrière mon ècran... si si j'vous jure... .. . Contributions: 1788		kankrelune Posté le: 09/03/2005 00:09 Mis à jour: 09/03/2005 00:10 Re: Alerte de sécurité : Désactivez l'upload d'... Oui mais là je parle juste de vérification pour voir si ce n'est pas un script... si dimension inéxistantes ( = 0.00000... pas = 0.5 ou qlqc du genre) ce n'est pas une image... après il va de soit qu'il ne faut pas baser la vérification uniquement la dessus mais arrête moi si je dis une connerie un mime type c'est plus facile à falcifier que de simuler une image avec des dimensions... .. . @ tchaOo°

	Anonyme Posté le: 09/03/2005 07:39 Mis à jour: 09/03/2005 07:39 Re: Alerte de sécurité : Désactivez l'upload d'... Citation : un mime type c'est plus facile à falcifier que de simuler une image avec des dimensions. euh non...

Semi pro Inscrit le: 10/11/2004 De: Contributions: 1659		Nikita Posté le: 09/03/2005 08:13 Mis à jour: 09/03/2005 08:13 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Merci, je vais attendre la Mise à Jour !

Supporter Xoops Inscrit le: 13/02/2003 De: Bourges Contributions: 258		petanque Posté le: 14/03/2005 14:20 Mis à jour: 14/03/2005 14:20 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Alors cette mise à jour ? Est t elle disponible et stable ? Merci

Semi pro Inscrit le: 09/06/2004 De: derrière mon ècran... si si j'vous jure... .. . Contributions: 1788		kankrelune Posté le: 14/03/2005 14:31 Mis à jour: 14/03/2005 14:31 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Citation : Alors cette mise à jour ? Est t elle disponible et stable ? Tant que ça n'est pas précisé... non... .. . @ tchaOo°

Newbie Inscrit le: 20/11/2003 De: Contributions: 17		WaVeR Posté le: 18/03/2005 07:14 Mis à jour: 18/03/2005 07:14 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Pourquoi ne pas mettre une maling liste pour avertir tout le monde des probs de sécurité :o ?

Semi pro Inscrit le: 09/06/2004 De: derrière mon ècran... si si j'vous jure... .. . Contributions: 1788		kankrelune Posté le: 18/03/2005 17:09 Mis à jour: 18/03/2005 17:09 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Parce qu'il y a déja une newsletter généraliste certe mais bon... il n'y a pas beaucoups de problèmes de sécu avec xoops et généralement les failles sont comblées avant leur publications... donc s'il faut faire une newsletter pour les "deux" alertes qu'il y a dans l'année... .. . La meilleur news letter c'est de toujours mettre à jour son site avec la dernière version de xoops... .. . @ tchaOo°

Xoops accro Inscrit le: 04/02/2003 De: Le Mans Contributions: 12273		Christian Posté le: 08/04/2005 00:46 Mis à jour: 08/04/2005 00:46 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Un correctif a été publié, lire l'article

Régulier Inscrit le: 07/10/2004 De: Contributions: 108		lachouette Posté le: 11/04/2005 22:11 Mis à jour: 11/04/2005 22:11 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Bonjour, Ce patch peut-il être appliqué sur la version 2.0.7.3 ? Merci de votre réponse

Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

48 Personne(s) en ligne (4 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 48 | Plus ...