Fork me on GitHub

Version de mise à jour 2.0.13.2
18
200528
Octobre
  Christian Versions 6144

L'équipe de développement du noyau Xoops vient de publier une nouvelle version appelée 2.0.13.2.

Elle est destinée principalement à renforcer la sécurité de votre site puisqu'elle a pour objectif les corrections suivantes :

- protection contre les injections dans les en-têtes de mails
- protection contre les boucles sans fin dans PHPMailer
- protection contre les attaques XSS dans le sanitizer
- protection contre les attaques XSS dans le forum newbb et le système de commentaires
- Vaporfix (Si quelqu'un peut me traduire vaporfix)pour prévenir l'upload d'images invalides (remerciements à xoopscube)

Le site officiel Xoops.org, qui vient de réouvrir après quelques jours de fermeture forcée, tient à préciser que les correctifs publiés dans cette version ne correspondent pas à des failles exploitées par celui qui a pénétré sur leur site.


Si vous souhaitez plus d'informations sur la définition des attaques XSS, je vous propose la lecture de cet article de PHP Solutions publié par le Journal du Net.

Instructions de mise à jour de votre version 2.0.13.1
- télécharger les fichiers
- après décompression, uploader les fichiers sur votre serveur à l'endroit approprié en écrasant les anciens fichiers
- si vous utilisez un autre module que newbb1 ou contact : ne pas transférer le contenu de ces dossiers
- pour cette mise à jour, il n'est pas utile d'effectuer une mise à jour de son module system ni des autres modules

Profitez en pour vérifier que vous avez bien supprimé le répertoire install de votre site. Cette vérification accompagnée d'un upgrade en 2.0.13.2 doit sécuriser votre site.

Ce week-end, une nouvelle version de Xoops sera également publiée (Xoops 2.2.3) afin de parfaire les tests déjà commencés pour cette série des versions 2.2.x.

Tous ces évènements vont aboutir à la publication prochaine d'un guide de sécurité.

Une version complète 2.0.13.2 fr (avec fichiers et images en français) devrait être disponible ce soir.
Note: 10.00 (1 vote) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Régulier
Inscrit le: 22/02/2004
De: Paris
Contributions: 123
mibag Posté le: 28/10/2005 18:24  Mis à jour: 29/10/2005 10:51
 Re: Version de mise à jour 2.0.13.2
Merci pour cette info quasiment en temps réel, la réactivité des équipes Xoops est toujours bleufante.
J'ai une petite question, est ce que le module xoopsprotector a encore une utilité lorsque qu'on est dans cette version après avoir passé ces patchs ?

MB.
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 28/10/2005 21:49  Mis à jour: 28/10/2005 21:58
 Re: Version de mise à jour 2.0.13.2
l'archive ne contient pas le fichier xoops_version. après mise à jour vous ne verrez pas apparaitre le numéro de version 2.0.13.2 dans l'admin. pas de panique

1. Appelez le fichier : include/version.php (xoopsroot/include/version.php)
2.Editez-le et changer le "XOOPS 2.0.13.1" pour un "XOOPS 2.0.13.2".
3.C'est tout !

Sinon, le package sera corrigé d'ici peu.
marco
Supporter Xoops
Inscrit le: 13/05/2005
De: Le théíƒÂ¢tre de la vie
Contributions: 340
mediateur Posté le: 28/10/2005 22:55  Mis à jour: 28/10/2005 22:55
 Re: Version de mise à jour 2.0.13.2
Un peu déconcerté.
J'ai installé les fichiers et j'ai reçu en retour une erreur sur la ligne 145 de function.php

Citation :
return $GLOBALS['xoopsSecurity']->checkReferer($docheck);


Aurais-je oublié quelque chose ou y'a-t-il un hic qq part ?

merci
jl
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 29/10/2005 00:02  Mis à jour: 29/10/2005 00:02
 Re: Version de mise à jour 2.0.13.2
POurrais tu donner plus d'explications ? sur ton environnement(système, version xoops, modules et versions) et sur ce que tu as copié précisément.
Supporter Xoops
Inscrit le: 13/05/2005
De: Le théíƒÂ¢tre de la vie
Contributions: 340
mediateur Posté le: 29/10/2005 00:28  Mis à jour: 29/10/2005 00:28
 Re: Version de mise à jour 2.0.13.2
J'ai tout copié, dans les différents fichiers respectifs, en conservant les anciens par vieille prudence.... Il s'agit de mon site ICI version XOOPS 2.0.9.2
Modules :
- sondages
- smartclients
- wf-channel
- partners
- dictionary
- backup
- news
- sitemap
- i-menu
- marquee
- PiCal

La phrase d'erreur arrive quand je veux aller côté admin. Ca ne lui convient pas et il m'explique en rouge de chez rouge :

Citation :
Fatal error: Call to a member function on a non-object in /data/members/paid/l/e/lesmediateurs.fr/htdocs/www/mediation/include/functions.php on line 145


Cela dit, j'ai seulement viré le nouveau function.php et reactivé l'ancien et tout semble en ordre. Mais bon, y'a un truc...
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 29/10/2005 00:54  Mis à jour: 29/10/2005 00:54
 Re: Version de mise à jour 2.0.13.2
Oui le truc, je vais corriger l'article , c'était trop évident pour moi.
La mise à jour dont fait l'objet l'article concerne ceux qui sont en 2.0.13.1 exclusivement.

Pour ceux qui sont dans des versions antérieures, il faut passer les patchs précédents un par un. On peut les trouver dans notre espace téléchargements -> noyau -> mise à jour de versions 2.0x
Aspirant
Inscrit le: 06/01/2004
De:
Contributions: 63
skalpa Posté le: 29/10/2005 06:05  Mis à jour: 29/10/2005 06:05
 Re: Version de mise à jour 2.0.13.2
Vaporfix = placebotection
Explication: j'ai implémenté une pseudo-protection que les japonais ont mise dans leur version, mais qui ne sert à rien, juste pour éviter les discussions inutiles et les "leur truc il est plus sur que le votre".
:banane:

skalpa.>
Supporter Xoops
Inscrit le: 13/05/2005
De: Le théíƒÂ¢tre de la vie
Contributions: 340
mediateur Posté le: 29/10/2005 09:36  Mis à jour: 29/10/2005 09:36
 Re: Version de mise à jour 2.0.13.2
J'ai la mémoire qui flanche...
Comment puis-je vérifier la version que j'utilise ? Je vais côté admin, je jette un oeil en bas de page et zou...
Mais en fait non, si j'ai fait des maj ça ne se répercute pas sur le pied de page ...
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 29/10/2005 10:28  Mis à jour: 30/10/2005 11:34
 Re: Version de mise à jour 2.0.13.2
Marco t'as donné la réponse dans un commentaire au dessus, c'est le fichier include/version.php qui permet de connaitre sa version. Lorsque tu es dans la partie admin de ton site, la référence à la version est affichée en bas de la page.

Il n'est pas trop judicieux d'afficher le numéro de sa version coté client, cela n'apporte rien et peut donner des idées à certains êtres malintentionnés.
Régulier
Inscrit le: 22/02/2004
De: Paris
Contributions: 123
mibag Posté le: 29/10/2005 10:54  Mis à jour: 29/10/2005 10:54
 Re: Version de mise à jour 2.0.13.2
je me permet de reposer cette question
est ce que le module xoopsprotector a encore une utilité lorsque qu'on est dans cette version après avoir passé les patchs ?

MB.
Admin Frxoops
Inscrit le: 04/02/2003
De: Blois
Contributions: 3071
philou Posté le: 29/10/2005 12:57  Mis à jour: 29/10/2005 12:57
 Re: Version de mise à jour 2.0.13.2
pour protector la reponse est oui !
Supporter Xoops
Inscrit le: 24/11/2004
De: Marseillan - Cap d'Agde
Contributions: 687
denisdlu Posté le: 30/10/2005 11:17  Mis à jour: 30/10/2005 11:17
 Re: Version de mise à jour 2.0.13.2
Merci Christian pour l'article "PHP : se protéger contre les attaques XSS et CSRF" . Vraiment interessant :)
Régulier
Inscrit le: 04/02/2003
De: Nord de la France
Contributions: 130
yerac Posté le: 30/10/2005 23:27  Mis à jour: 30/10/2005 23:27
 Re: Version de mise à jour 2.0.13.2
Au passage, j'ai une question. On reste sur la 2.0.13.2 ou alors la 2.2.3 va enfin devenir utilisable et stable ?
Xoops accro
Inscrit le: 04/02/2003
De: Le Mans
Contributions: 12273
Christian Posté le: 30/10/2005 23:52  Mis à jour: 30/10/2005 23:52
 Re: Version de mise à jour 2.0.13.2
je pensais avoir été clair dans mon article :
Citation :
Ce week-end, une nouvelle version de Xoops sera également publiée (Xoops 2.2.3) afin de parfaire les tests déjà commencés pour cette série des versions 2.2.x.


Libre à toi de prendre le risque, mais si tu es un tant soi peu sérieux, le mieux de patienter et de tester cette version dans un environnement qui soit le plus proche de ton environnement de production, puis de tester les modules et les fonctions que tu utilises afin d'y chercher des dysfonctionnements éventuels.

Nous comprenons ton impatience, il faut parfois refréner ses envies pour conserver un site opérationnel. Nous allons également tester cette nouvelle version et ne manquerons pas de publier les résultats de nos investigations.
Anonyme Posté le: 31/10/2005 09:40  Mis à jour: 31/10/2005 09:40
 Re: Version de mise à jour 2.0.13.2
J'aime beaucoup ta mère en slip
:--))))))))))))))))))))
Supporter Xoops
Inscrit le: 09/01/2005
De: Breizh
Contributions: 16972
Kris Posté le: 31/10/2005 13:19  Mis à jour: 31/10/2005 13:19
 Re: Version de mise à jour 2.0.13.2
xoopsroot/class/module.textsanitizer.php

ligne 203, des petits marrants !!!

Et après, certains vont dire que la team n'étudie pas les codes pour les vérifications !!
Semi pro
Inscrit le: 05/06/2004
De:
Contributions: 750
Niluge Posté le: 04/11/2005 18:51  Mis à jour: 04/11/2005 18:51
 Re: Version de mise à jour 2.0.13.2
Juste pour savoir si c'est normal que le lien donne aussi le miroir à utiliser.. ca contredit le principe de systèmes de mirroir de SF.
Aspirant
Inscrit le: 09/03/2005
De: Paris
Contributions: 40
vhenninot Posté le: 29/03/2006 20:23  Mis à jour: 29/03/2006 21:38
 Re: Version de mise à jour 2.0.13.2
Ma mise à jour de 2.0.13 vers 2.0.13.1 me pose qq problemes.. rdv ds les forums !
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

45 Personne(s) en ligne (3 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 45 | Plus ...