Fork me on GitHub

Correctif Image Manager Xoops (Alerte sécurité)
7
200804
Juin
  Anonyme XOOPS 4346

Un bug dans le Gestionnaire d'images de Xoops a été découvert. Il a trait à la gestion des permissions et concerne potentiellement toutes les versions Xoops 2.0.x

Si vous accordez les droits d'administration à vos membres pour tout ou partie du Gestionnaire d'images, il dispose de facto des même privilèges que le webmestre, c'est à dire TOUS les droits.

Concrètement, un membre mal intentionné pourrait :
- effacer complètement le contenu de votre banque d'images
- créer de nouvelles catégories
- y placer le contenu qu'il souhaite, sans restriction d'aucune sorte (autres que celles fixées par votre hébergeur)

Ce bug de sécurité a été repéré par Dugris et immédiatement corrigé par ses soins.

Description du bug

1. Affectation des droits globaux d'administation

Open in new window
Les droits d'administration du Gestionnaire d'images de Xoops sont confiés à un Groupe, ici le Groupe des Utilisateurs enregistrés.


2. Vous distribuez les droits d'administration Catégorie par Catégorie...

Open in new window
Droits d'upload pour l'album photo 1...

Open in new window
... mais pas sur l'album photo 2

Open in new window
... exemple de distribution des droits.


3. Connexion en tant que membre

Open in new window
L'utilisateur s'identifie...

Open in new window
La distribution des droits n'est absolument pas respectée ! Pire, votre membre dispose de tous les droits y compris celui d'effacer les différentes catégories de votre Gestionnaire d'images :-o



Correction du bug

• Télécharger le correctif joint à cet article
• Téléverser le contenu du répertoire /htdocs à la racine de votre site en confirmant l'écrasement demandé


Open in new window
Le correctif consiste à remplacer le fichier main.php situé dans le répertoire : modules/sytem/admin/images/


Open in new window
Une fois le fichier original remplacé, vérifiez son action. Désormais le membre identifié dispose de droits restreints et conformes aux paramétrages :
• droit de charger des images dans la catégorie autorisée
• seul l'administrateur du site peut ajouter / mettre à jour / supprimer les catégories existantes



Note

Cette correction a été appliquée avec succès sur Xoops 2.0.18.1. Le fichier main.php étant rigoureusement identique dans les distributions précédentes de Xoops (au moins depuis Xoops 2.0.14), ce patch doit être efficient pour ces anciennes versions.
Note: 10.00 (2 votes) - Noter cet article -
Fichiers attachés : gestionnaire_images_xoops_2-0-18-1.zip 

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Supporter Xoops
Inscrit le: 09/01/2005
De: Breizh
Contributions: 16972
Kris Posté le: 04/06/2008 21:28  Mis à jour: 04/06/2008 21:28
 Re: Correctif Image Manager Xoops (Alerte sécurité)
Merci pour ce correctif et la qualité de l'explication

Kris
Semi pro
Inscrit le: 19/08/2005
De: 97221
Contributions: 1980
Jah Posté le: 05/06/2008 00:28  Mis à jour: 05/06/2008 00:28
 Re: Correctif Image Manager Xoops (Alerte sécurité)
Merçi Burning, ça frise la perfection.
Par contre, que ce soit sous FF et Opéra sous Linux, je ne voie pas le correctif joint !!!
nulle part, j'ais pourtant scruté tous les coins de l'article.
Semi pro
Inscrit le: 19/08/2005
De: 97221
Contributions: 1980
Jah Posté le: 05/06/2008 01:47  Mis à jour: 05/06/2008 01:47
 Re: Correctif Image Manager Xoops (Alerte sécurité)
T'as le même en tar.gz non, je déconne.
Encore merci pour cette grosse contribution pour la communauté.
Semi pro
Inscrit le: 27/10/2004
De:
Contributions: 566
grandoc Posté le: 06/06/2008 10:37  Mis à jour: 06/06/2008 10:37
 Re: Correctif Image Manager Xoops (Alerte sécurité)
Bravo à Dugris, c'est de la belle ouvrage
j'ai comparé avec Winmerge les deux fichiers, et c'est là que je vois tout le chemin qu'il me reste à parcourir, entre le bidouillage sur du code php et un vrai travail de programmeur
Newbie
Inscrit le: 12/02/2008
De: Sydney, Australia
Contributions: 5
wishcraft Posté le: 07/06/2008 22:43  Mis à jour: 07/06/2008 22:43
 Re: Correctif Image Manager Xoops (Alerte sécurité)
Bonjour tous, je vais inclure dans la prochaine branche, je suis en xoops bâtiment qui sera un système de gestion de la politique. Ce qui est un gestionnaire de politique, et c'est à ce moment que vous dites par exemple IP .*.* 255,198 - 255,201 .*.* peut accéder à, par exemple le module X ou pas accès au site à tous, ou le nom d'hôte contenant gov.fr peut pas accéder au site, complètement ou voir certaines parties, ou $ _REQUEST, $ _GET, $ _POST, $ _COOKIE, etc ne peuvent pas contenir var avec ceci ou cela ... et ainsi de suite ..
Xoops accro
Inscrit le: 20/02/2008
De: Belgium
Contributions: 2708
Ghia Posté le: 09/06/2008 09:36  Mis à jour: 09/06/2008 09:38
 Re: Correctif Image Manager Xoops (Alerte sécurité)
Traduit en anglais, je comprends maitenant la poste precedente.
Citation :
Hello all, I will include in the next branch, I am in xoops building which will be a management system of the policy. What is a manager of policy, and it's what you at this time known as for example IP. *.* 255,198 - 255,201. *.* can reach, for example module X or not access to the site at all, or the name of the host containing gov.fr cannot reach the site, completely or see certain parts, or $ _REQUEST, $ _GET, $ _POST, $ _COOKIE, etc cannot contain VAr with this or that… and so on.



Merci, pour la correction. Ca a l'aire de marcher aussi pour V2.2.6 . Le fichier ancienne est la meme.

Une seule point, je ne sais pas que ca vient de la correction ou pas, mais c'est ne pas possible de deselectionner la droit upload, comme indique dans l'image deux et trois.
J'explique:
J'ai aussi une categorie supplementaire redacteurs et maitenant les webmasters et le redacteurs ont les deux droits. Quand je deselectionne le droit upload pour redacteurs (en admin.php?fct=images&op=editcat&imgcat_id=3) et fait submit, la modification n'est pas faites. Quand je clicque de nouveau a changer, le droit upload est encore present pour les redacteurs.

Neanmoins que les deux droits sont presentes, les redacteurs ont seulement la fonction 'list' est pas 'change' or 'delete' (image 4 exemple de distribution des droits (admin.php?fct=images)). Ils ont pourtant bien le droit 'system admin rights' pour 'image manager' (image 1 admin.php?fct=groups&op=modify&g_id=4)

Je vais une fois retester cettes fonctions avec l'ancienne fichier main.php.
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

35 Personne(s) en ligne (1 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 35 | Plus ...