Fork me on GitHub

Security : Security Release: XOOPS 2.0.12a

200502
Juillet
  xvitry Versions 4523
Versions

Traduction de
l'article
posté par Mithrandir le 28/6/2005 à 19:10:00 sur xoops.org
Traduction:

Vendredi dernier nous avons publié la version 2.0.11, mais durant la fin de semaine, j'ai eu une conversation constructive avec James du site GulfTech Security Research, qui m'a aidé à trouver et corriger quelques trous de sécurité dans l'interface XML-RPC et le système de gestion des commentaires.

De plus, les développeurs japonais (XOOPS JP) ont apporté leur aide en corrigeant quelques erreurs.

De ce fait, nous recommandons à chacun de faire la mise à jour vers la version 2.0.12, disponible sur xoops.org.

Instructions de mise à jour :
1. télécharger le patch
2. Extraire le patch
3. Charger sur le serveur
4. et voilà....

Changement depuis la 2.0.10:

============================
2005/06/29: Version 2.0.12a
============================
- Correction d'un bug dans les commentaires, le fait d'éditer un commentaire en postait un nouveau
- Suppression d'une erreur de syntaxe dans la méthode handleProcessingInstruction() de Saxparser (Merci à GIJOE)
- Correction d'une erreur de syntaxe dans modules/newbb/post.php

============================
2005/06/28: Version 2.0.12
============================
- Correction d'un bug dans la sanitisation pour include/comment_form.php et include/comment_post.php (Mithrandir/James@Gulftech)
- Correction d'un bug dans la sanitisation dans class/xml/rpc/xmlrpcapi.php et class/criteria.php (Mithrandir/James@Gulftech/XOOPS JP)
- Modification d'admin.php pour afficher les articles de xoops.org via Snoopy (Mithrandir/XOOPS JP)
- Correction d'une faille potentielle XSS dans redirect_header (Mithrandir/XOOPS JP)
- Correction de sécurité dans in pda.php et misc.php (Mithrandir/XOOPS JP)
- Fixed typos in kernel/object.php (Mithrandir/brandycoke)

============================
2005/06/24: Version 2.0.11
============================
- Correction d'un bug dans lostpass.php qui n'acceptait pas les emails et envoyait un nouveau mot de passe (Ackbarr)
- Correction d'un bug dans les liens sur les résultats d'une recherche, si l'item provenait d'un autre module que celui d'où démarrait la recherche(Ackbarr)
- Correction d'un bug dans le groupe admin où il était impossible d'ajouter un utilisateur à un groupe si le site avait plus de 200 membres(Ackbarr)
- Correctiond d'un bug dans l'upload de smilies (Ackbarr)


XOOPS 2.0.12a Stable
.zip| .tarball

XOOPS 2.0.10 to 2.0.12a patch
.zip| .tarball

ndt: Bonne mise à jour tous...

Note: 0.00 (0 votes) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Aspirant
Inscrit le: 09/12/2003
De:
Contributions: 33
ghb2ok Posté le: 29/06/2005 09:54  Mis à jour: 29/06/2005 10:14
 Re: Security Release: XOOPS 2.0.12 : Imges
Depuis l'applicaiton du patch 2.0.10 --> 2.0.12, les images n'apparaissent plus (sur 2 sites différents), dans aucun module, et sont remplacés par le nom de ces images. Il s'agit d'images de l'image manager, stochée sous forme blob base de données.

Quelqu'un a-t-il une idée ?

:-o :-o :-o :dunno:

Je confirme : j'ai créé sur un 3° site patché 2 catégories, l'une sous forme stockage image, et l'autre sous forme stockage blob. J'ai uploadé la même image dans l'une et l'autre des catégories. L'image n'apparait que sous forme fichier. Elle n'est même pas dans l'image manager dans la catégorie sous forme blob, et pas davantage quand je l'insere dans un article....

:chepu:
Xoops accro
Inscrit le: 15/07/2004
De:
Contributions: 4763
blueteen Posté le: 29/06/2005 10:49  Mis à jour: 29/06/2005 10:49
 Re: Security Release: XOOPS 2.0.12 : Imges
Je suis passé de la 2.0.10 à la 2.0.12 sans pbs (j'avais quelques modifs perso que j'ai reporté dans les nouveaux fichiers), mais tout va bien pour le moment.
J'ai envoyé un article, en insérant une image, avec l'image manager, et l'image est bien là.
mais j'utilise le stockage en tant que fichier.
je ne peux t'aider ghb2ok
Aspirant
Inscrit le: 09/12/2003
De:
Contributions: 33
ghb2ok Posté le: 29/06/2005 10:59  Mis à jour: 29/06/2005 11:04
 Re: Security Release: XOOPS 2.0.12 : Imges
C'est dans le /class patché que se trouve le problème. Je m'en suis rendu compte en remplaçant le /class patché par le /class original : tou rentre dans l'ordre.....

Mes talents de hackeur sont fort modestes, mais peut-être en inspectant le code l'illumination viendra-t-elle....

En rebalançant les patch fichier par fichier, je sais que l'anomalie est dans criteria.php... ça brûûûle...
Aspirant
Inscrit le: 09/12/2003
De:
Contributions: 33
ghb2ok Posté le: 29/06/2005 21:38  Mis à jour: 29/06/2005 21:38
 Re: Security : Security Release: XOOPS 2.0.12
Toujours moi.

Une nouvelle installation de Xoops 2.0.12 présente le même problème : les images d'une catégorie stockée sous forme blob dans la base de donnée n'apparaissent pas.

Une sanitization trop poussée de la requête sql ???
Newbie
Inscrit le: 29/06/2005
De:
Contributions: 8
Pauloo Posté le: 29/06/2005 22:43  Mis à jour: 29/06/2005 23:46
 Re: Security : Security Release: XOOPS 2.0.12
Bonjour,

Depuis cette mise à jour de la 2.0.10 et la 2.0.12, les balises gras, souligné etc ... ne fonctionnent plus.
Pouvez-vous me dire qi j'ai mal fait la mise à jour et si c'est un autre problème ?

Merci
EDIT: Sorry ça marche, merci d'effacer ce post.
Semi pro
Inscrit le: 07/03/2004
De:
Contributions: 591
xvitry Posté le: 29/06/2005 23:53  Mis à jour: 29/06/2005 23:56
 Re: Security : Security Release: XOOPS 2.0.12
Salut à tous,

la version 2.012a vient de sortir

============================
2005/06/29: Version 2.0.12a
============================
- Correction d'un bug dans les commentaires, au moment d'éditer un message, il créait un nouveau
- Retrait du PHP parsing dans a méthode Saxparser's handleProcessingInstruction() (Merci à GIJOE)
- Correction d'une erreur dans modules/newbb/post.php (version 1 uniquement)

a priori les liens indiqués ici sont tous les mêmes, ils n'ont fait que mettre à jour l'article et les archives sur xoops.org (enfin, je crois).

Pour la question sur les images, voir dans les commentaires sur xoops.org, je crois que ça a été abordé...
Aspirant
Inscrit le: 12/02/2004
De: Marseille
Contributions: 58
ares86 Posté le: 30/06/2005 00:02  Mis à jour: 30/06/2005 00:02
 Re: Security : Security Release: XOOPS 2.0.12
Une question toute bete, pour une migration de xoops 2.0.10 à 2.0.12, les fichiers langues sont les mêmes ?
Parce que je vais patcher un site en production ...

merci
Admin Frxoops
Inscrit le: 04/02/2003
De: Blois
Contributions: 3071
philou Posté le: 30/06/2005 06:21  Mis à jour: 30/06/2005 06:21
 Re: Security : Security Release: XOOPS 2.0.12
pour les fichiers langues il n'y a pas de problemes.

la news a été remise à jour pour intégrer le dernier correctif 2.0.12a
Xoops accro
Inscrit le: 15/07/2004
De:
Contributions: 4763
blueteen Posté le: 30/06/2005 12:55  Mis à jour: 30/06/2005 12:56
 Re: Security : Security Release: XOOPS 2.0.12
Mithrandir t'a proposé un truc : (dispo dans cette 2.0.12a)

Found something:

In /image.php, add this line:

include_once XOOPS_ROOT_PATH."/class/module.textsanitizer.php";

above these two lines:

$xoopsLogger =& XoopsLogger::instance();
$xoopsLogger->startTime();

I've never used the blob feature, so I cannot say if this will work correctly, since my test installation corrupts the images during upload. But at least it will avoid the fatal error in Criteria::render()
Aspirant
Inscrit le: 09/12/2003
De:
Contributions: 33
ghb2ok Posté le: 30/06/2005 13:22  Mis à jour: 30/06/2005 13:22
 Re: Security : Security Release: XOOPS 2.0.12a
la 2.0.12a marche sur les images blob !

Merci à tous !


Admin Frxoops
Inscrit le: 16/05/2003
De: Rhone-Alpes
Contributions: 4051
alain01 Posté le: 30/06/2005 17:11  Mis à jour: 30/06/2005 17:11
 Re: Security : Security Release: XOOPS 2.0.12a
A propos des MP sur les thèmes et du hack MP, prenez connaissance de ceci.
Newbie
Inscrit le: 18/01/2004
De:
Contributions: 18
cedced99 Posté le: 30/06/2005 23:48  Mis à jour: 30/06/2005 23:48
 Re: Security : Security Release: XOOPS 2.0.12
Probleme avec les langues
Suite a mise jour de securite

Les menus ne sont plus anglais francais.

Le contenu par contre fonctionne en anglais et francais

Des idees

Merci
Newbie
Inscrit le: 18/01/2004
De:
Contributions: 18
cedced99 Posté le: 01/07/2005 00:06  Mis à jour: 01/07/2005 00:06
 Re: Security : Security Release: XOOPS 2.0.12a
Apres plusieurs chargement de la 10 vers 12.

Rien a faire les menus ne sont plus en langue Anglaise ou Francaise.

Le detail passe bien en anglais ou francais mais pas les menus.

Vraiment etrange

Des idées ?

Merci
Admin Frxoops
Inscrit le: 04/02/2003
De: Blois
Contributions: 3071
philou Posté le: 01/07/2005 19:10  Mis à jour: 01/07/2005 19:10
 Re: Security : Security Release: XOOPS 2.0.12a
c'est tout a fait normal dans la mesure ou le passage en 2.0.12a écrase les fichiers du pack multilingue.
Aspirant
Inscrit le: 21/08/2004
De: Arras
Contributions: 27
papyrus Posté le: 03/07/2005 10:19  Mis à jour: 03/07/2005 10:19
 Re: Security : Security Release: XOOPS 2.0.12a
Y commence à ya voir bcp de mises à jour, yen a une nouvelle sur le site xoops.org
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 04/07/2005 08:13  Mis à jour: 04/07/2005 08:14
 Re: Security : Security Release: XOOPS 2.0.12a
oui, passez à la 2.0.13 qui corrige qq erreurs résiduelles,l'annonce a été traduite dans un nouvel article.
marco
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

53 Personne(s) en ligne (5 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 53 | Plus ...