Fork me on GitHub

Alerte sécurité : --MAJ-- Désactivez l'upload d'avatar

200508
Mars
  philou XOOPS 7026

Mis à jour le 09/03/05

Une Vulnérabilité a été rapportée dans le noyau de XOOPS qui autorise les membres à uploader des scripts malicieux sur le serveur web.

La vulnérabilité se trouve dans l'upload des avatars personnalisés et tant que nous n'avons pas vu toutes les conséquences et remèdes de cet exploit, nous demandons à TOUS les administrateurs de site XOOPS de DESACTIVER LES UPLOAD D'AVATARS PERSONNALISES dans Admin Systeme -> Preferences -> Paramètres utilisateurs -> "Autoriser l'upload d'avatars"

DE LA MEME MANIERE, n'autorisez pas l'upload d'image via le gestionnaire d'images. Dans Menu Administration -> Admin Systeme -> Images editer chaque categorie et ne pas autoriser les groupes utilisateurs non sûrs à uploader des images.

Nous vous tiendrons informé dès la publication du patch de sécurité empéchant cet exploit.

XOOPS Core Team

MISE A JOUR:
Un patch est disponible.
Si aucun problème spécifique n'est rencontré après des essais plus approfondis, il sera disponible demain.

En attendant, les personnes qui peuvent le tester et nous faire part de leur avis seront les bienvenues.
Pour l'installer, téléchargez les deux fichiers suivants dans le répertoire /class/ de votre XOOPS :
uploader.php
mimetypes.inc.php

Les mises à jour de Source Forge viewcvs sont faites régulièrement, mais vous pouvez avoir à attendre encore quelques minutes avant que le fichier devienne disponible. Alternativement, les personnes avec un acces CVS anonyme peuvent le récupérer directement dès à présent.

skalpa.>
(avec l'aide appréciable de php_pp :)

Note: 0.00 (0 votes) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.

Régulier
Inscrit le: 04/02/2003
De: Rennes
Contributions: 110
gnomezero Posté le: 08/03/2005 22:33  Mis à jour: 08/03/2005 22:33
 Re: Alerte de sécurité : Désactivez l'upload d'...
Merci pour l'info!
~~~>relayée~~~>!

Répons(s) Auteur Posté le
 Re: Alerte de sécurité : Désactivez l'upload d'... kankrelune 08/03/2005 23:11
    Re: Alerte de sécurité : Désactivez l'upload d'... philou 08/03/2005 23:40
      Re: Alerte de sécurité : Désactivez l'upload d'... kankrelune 09/03/2005 00:09
        Re: Alerte de sécurité : Désactivez l'upload d'... Anonyme 09/03/2005 07:39

Anonyme Posté le: 08/03/2005 22:34  Mis à jour: 08/03/2005 22:34
 Re: Alerte de sécurité : Désactivez l'upload d'...
Est ce que ça signifie que les modules qui utilisent la fonction xoops pour uploader les images sont concernés ?

Aspirant
Inscrit le: 04/02/2003
De: Toulouse, France
Contributions: 47
DaBoyz Posté le: 08/03/2005 23:06  Mis à jour: 08/03/2005 23:06
 Re: Alerte de sécurité : Désactivez l'upload d'...
Est-ce à dire que ce problème touche toutes les versions ?

Semi pro
Inscrit le: 10/11/2004
De:
Contributions: 1659
Nikita Posté le: 09/03/2005 08:13  Mis à jour: 09/03/2005 08:13
 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&...
Merci, je vais attendre la Mise à Jour !

Supporter Xoops
Inscrit le: 13/02/2003
De: Bourges
Contributions: 258
petanque Posté le: 14/03/2005 14:20  Mis à jour: 14/03/2005 14:20
 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&...
Alors cette mise à jour ? Est t elle disponible et stable ?

Merci

Répons(s) Auteur Posté le
 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... kankrelune 14/03/2005 14:31

Newbie
Inscrit le: 20/11/2003
De:
Contributions: 17
WaVeR Posté le: 18/03/2005 07:14  Mis à jour: 18/03/2005 07:14
 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&...
Pourquoi ne pas mettre une maling liste pour avertir tout le monde des probs de sécurité :o ?

Répons(s) Auteur Posté le
 Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... kankrelune 18/03/2005 17:09
    Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... Christian 08/04/2005 00:46
      Re: Alerte sécurité : --MAJ-- Désactivez l'upload d&... lachouette 11/04/2005 22:11
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

190 Personne(s) en ligne (1 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 190 | Plus ...