Voici une traduction de la news postée par skalpa ICI, qui concerne la publication d'un patch de sécurité dans les branches 2.0.x et 2.2.x. Devant la recrudescence actuelle des hacks (c'est de tradition en été), nous vous conseillons de mettre à jour vos sites au plus vite vers l'une de ces deux dernières versions (voir ci-dessous nos conseils en terme de choix).
Nous avons récemment pris conscience d'un problème potentiel avec certain fichiers XOOPS pouvant révéler les chemins physiques d'un serveur lorsqu'on tente d'accéder directement à ces fichiers depuis le navigateur.
Ce problème existe dans les versions 2.0.13 (et précédentes) / 2.2.x et nous l'avons corrigé dans les fichiers du core pour les branches 2.0.13.x et 2.2.x. Nous recommandons vivement à tous les utilisateurs des versions 2.0.13 / 2.2.1 de mettre à jour leur site respectivement vers les versions 2.0.13.1 et 2.2.2 aussi rapidement que possible.
Merci de noter que certain modules sont modifiés dans le package 2.0.13.1 (LDLR: dans la série 2.0.X, le package core comprenait des modules core. Dans la branche 2.2.X, il n'y a plus de modules core, cf nos précédents articles) et que si vous utilisez de nouvelles versions de ces modules (NDLR par exemple cbb au lieu de newbb1, news 1.3.1.2 au lieu de news 1.1, etc.), vous ne devez pas écraser les fichiers du module avec ceux fournis dans cette distribution.
Un problème similaire peut provenir des fichiers de certain modules et nous encourageons vivement tous les développeurs de modules à verifier les fichiers destinés à être inclus dans d'autres fichiers. Ces fichiers pouvant révéler les chemins physiques du serveur, il est souhaitable de toujours placer ce bout de code au début de ces fichiers :
Citation : if (!defined("XOOPS_ROOT_PATH")) {
die("XOOPS root path not defined");
}
skalpa.>
NdM : Les anglophones auront remarqué que j'ai pris quelques libertés dans la traduction de cette nouvelle mais c'est pour tenter d'être le plus clair possible.
NdM bis : Ce problème concerne toutes les versions de xoops actuelles (2.0.x et 2.2.x). Plus généralement il est suceptible de toucher tous les scripts que vous pouvez créer. Il est alors souhaitable de prendre de bonnes habitudes en suivant le conseil cité précédemment à moins que ne vous sachiez ce que vous faites.
NdM bis bis : Ce problème n'est pas extrèmement grave mais ils pourrait faciliter le travail certains pirates ayant pour objectif de hacker un site. Globalement il faut éviter un maximum de divulguer (volontairement ou pas) des informations sur votre système, y compris votre version de xoops (ou même de tel ou tel module).
Amicalement, Vivi.
NDLR : Par contre, XOOPS France vous conseille toujours de ne pas trop vous presser à migrer de la 2.0.x(2.0.13) à la 2.2, d'autres bugs continuant à être trouvés, et tous les modules basiques compatibles 2.2 n'étant pas encore disponibles à cette heure. Laissez à la communauté le temps d'avoir un peu d'expérience sur cette nouvelle version !
Liens de Téléchargement/Intructions de Mise à jour
- Effectuez une sauvegarde préalable de sécurité avant migration
- Téléchargez les fichiers du répertoire html (correspondant au package de migration adéquate) sur le serveur - c'est tout.
Téléchargez XOOPS 2.0.13.1 :
Version full XOOPS 2.0.13.1 (stable)
.zip| tarball
Patch XOOPS 2.0.13 vers 2.0.13.1
.zip| tarball
Patch XOOPS 2.0.12a vers 2.0.13.1
.zip |tarball
Patch XOOPS 2.0.10 vers 2.0.13.1 (utilisez celui-ci pour mettre à jour les versions 2.0.10, 2.0.11 et 2.0.12)
.zip|tarball
Téléchargez XOOPS 2.2.2 :
(Cette version connait des problèmes de stabilité et d'incompatibilité avec certaines modules)
XOOPS 2.2.2 full (YMMV, NDRL en français dans le texte grosso modo : "j'ai fait de mon mieux, donc à vos risques et périls, sous toute réserve")
.zip|tarball
Patch XOOPS 2.2.1 vers 2.2.2
.zip|tarball
Nous mettrons à jour les traductions asap, en période de congés nous avons du mal à suivre ! merci d'être compréhensifs. marco.
Liste des bugs corrigés dans la version 2.0.13.1 depuis la version 2.0.13 de XOOPS
============================
2005/08/15: Version 2.0.13.1
============================
- SECURITY: Fixed several path disclosure issues (Mithrandir/ajaxbr+Dave_l)
Liste des bugs corrigés dans la version 2.2.2 depuis la version 2.2.1 de XOOPS
============================
2005/08/15: Version 2.2.2
============================
- SECURITY: Fixed several path disclosure issues (Mithrandir/ajaxbr+Dave_l)
- Fixed bug #1253433 - Outbox to-link wrong (Mithrandir/Dave_l)
- Fixed bug #1256352 - insertConfigCategories (Mithrandir/Pnooka)
- Fixed bug #1255004 - malformed uri in class/theme.php (Mithrandir/Frankblack)
- Fixed bug #1252898 - SMTP, SMTPAuth Fsockopen error (Mithrandir/fatalsaint)
- Fixed wrong call to loginUser() with uname instead of loginname (Mithrandir/ef11cornell)
- Fixed bug #1249880 - Change Email function can't be disabled (Mithrandir/Dave_l)
- Added "font styles" to language files in xoopseditor/koivi (phppp)
- Added empty $text check for encoding conversion in languages/english/local.php (phppp)
- Removed language files other than English (phppp)
|
