Fork me on GitHub

Vulnérabilité de Protector dans XOOPS 2.3.2b
3
200910
Janvier
  mage XOOPS 7408
XOOPS

Voici l'article traduit de www.xoops.org:

Nous avons été informés d'une vulnérabilité de XOOPS 2.3.2b.

Comme nous l'avons toujours communiqué avec vous (un guide pour rendre votre installation de XOOPS plus sûr), la meilleure solution est de placer votre dossier "xoops_lib" en dehors de la racine de votre site.

Si vous n'êtes pas autorisé à le faire, ajouter un .Htaccess afin de protéger votre module Protector.

Si le .Htaccess n'est pas autorisé ou permis sur votre serveur, désactivez global_register.

Si vous n'êtes pas autorisé à faire tout ce qui précède, la seule solution est de supprimer le module de protection de votre serveur et d'attendre un correctif du module.

Bien sûr, le meilleur scénario serait d'avoir du code plus sûr. Malheureusement, nous avons raté ce bug de sécurité, mais nous sommes en train de travailler sur une solution qui sortira bientôt.

L'article original sur www.xoops.org
Note: 2.00 (2 votes) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Xoops accro
Inscrit le: 20/02/2008
De: Belgium
Contributions: 2708
Ghia Posté le: 11/01/2009 09:04  Mis à jour: 11/01/2009 09:04
 Re: Vulnérabilité de Protector dans XOOPS 2.3.2b
Pour commencer, la distibution XOOPS doit donner l'example par placer les dossiers en dehors le dossier htdocs.
La procedure d'installation, doit donner une nom randommisee a ce dossier, comme est fait pour le prefix du tables.

Le .htacces est
order deny,allow
deny from all
a placer en xoops_lib et xoops_data.

En place de supprimer Protector, c'est aussi possible de donner une autre nom a la dossier xoops_lib et adaptez la definition dans mainfile.php . Ceci est a mon avis suffisante pour eviter en general le risque et quandmeme rester en dessous le parapluie de Protector.
(Pour ca, il faut que debug n'est pas activer, car des messages d'erreur peuvent exposer le nom secret de ce dossier xoops_lib renommee!)

Citation :
Nous avons été informés d'une vulnérabilité de XOOPS 2.3.2b .
Ce probleme est a l'ordre pour TOUS LES VERSIONS XOOPS, qui ont une module Protector installee dans la racine du site!

Donc:
En tous cas renommer le dossier et adaptez mainfile.php .
-1- Placer le XOOPS_TRUST_PATH dehors la racine du site.
Si non:
-2- Placer le fichier .htaccess .
Si non:
-3- Considere de supprimer (et effacez) le module Protector par estimer le risque d'etre hacker par module Protector ou par une module, qui est maitenant protegee par Protector.
(Quand vous supprimez Protector, adaptez aussi le mainfile.php (Mettez en commentaires les lignes post et pre check.)!)

Je crois que cette article doit etre placer sur une place plus prominante dans la page d'acceuil, car c'est quandmeme importante, que tous les utilisateurs prennent les mesures necessaires.
Régulier
Inscrit le: 14/06/2004
De:
Contributions: 374
baronxoops Posté le: 11/01/2009 17:28  Mis à jour: 11/01/2009 17:28
 Re: Vulnérabilité de Protector dans XOOPS 2.3.2b
La vulnérabilité concerne-t'elle aussi la version 2.57 de protector ?
Celle-ci est installée sur un de mes sites comme un module normal.
Xoops accro
Inscrit le: 20/02/2008
De: Belgium
Contributions: 2708
Ghia Posté le: 11/01/2009 22:30  Mis à jour: 11/01/2009 22:30
 Re: Vulnérabilité de Protector dans XOOPS 2.3.2b
Si votre part du module intentionnee pour etre placee dans le 'trust path' en dehors la racine est mis dans la racine, vous etes vulnerable.

Maitenant les hackers suivent la chaine /xoops_lib/... , mais c'est une question de temps qu'ils essayent aussi des anciens dossiers standard.
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

54 Personne(s) en ligne (2 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 54 | Plus ...