Alerte sécurité : --MAJ-- Désactivez l'upload d'avatar
Date 08/03/2005 | Sujet : XOOPS
| Mis à jour le 09/03/05
Une Vulnérabilité a été rapportée dans le noyau de XOOPS qui autorise les membres à uploader des scripts malicieux sur le serveur web.
La vulnérabilité se trouve dans l'upload des avatars personnalisés et tant que nous n'avons pas vu toutes les conséquences et remèdes de cet exploit, nous demandons à TOUS les administrateurs de site XOOPS de DESACTIVER LES UPLOAD D'AVATARS PERSONNALISES dans Admin Systeme -> Preferences -> Paramètres utilisateurs -> "Autoriser l'upload d'avatars"
DE LA MEME MANIERE, n'autorisez pas l'upload d'image via le gestionnaire d'images. Dans Menu Administration -> Admin Systeme -> Images editer chaque categorie et ne pas autoriser les groupes utilisateurs non sûrs à uploader des images.
Nous vous tiendrons informé dès la publication du patch de sécurité empéchant cet exploit.
XOOPS Core Team
MISE A JOUR:
Un patch est disponible.
Si aucun problème spécifique n'est rencontré après des essais plus approfondis, il sera disponible demain.
En attendant, les personnes qui peuvent le tester et nous faire part de leur avis seront les bienvenues.
Pour l'installer, téléchargez les deux fichiers suivants dans le répertoire /class/ de votre XOOPS :
uploader.php
mimetypes.inc.php
Les mises à jour de Source Forge viewcvs sont faites régulièrement, mais vous pouvez avoir à attendre encore quelques minutes avant que le fichier devienne disponible. Alternativement, les personnes avec un acces CVS anonyme peuvent le récupérer directement dès à présent.
skalpa.>
(avec l'aide appréciable de php_pp :)
|
|