Fork me on GitHub

Patch de sécurité

200623
Mai
  Christian XOOPS 6456

Un correctif de sécurité vient d'être publié pour fixer une faille potentielle révélée par Secunia Advisory n° 20176.

Veuillez noter que cette issue concerne uniquement les serveurs configurés avec register_globals à on, qui n'est pas une option recommandée.

Cependant nous recommandons à chaque utilisateur xoops 2.x de l'appliquer, et notamment tous ceux qui sont obligés d'utiliser une version antérieure à la 2.0.13.2 ; la protection additionnelle qu'elle contient pourra vous protéger d'autres issues connues avec ces anciennes versions.


Téléchargement

XOOPS 2006/05/23 security patch (.tar.gz)
XOOPS 2006/05/23 security patch (.zip)

Instructions d'installation

  • faire une copie de sauvegarde du fichier mainfile.php
  • assurez-vous que le serveur web a les droits d'écriture sur ce fichier
  • transférer le dossier security060523 à la racine de votre serveur
  • connectez-vous comme administrateur
  • appliquer le correctif en appelant l'url : http://www.votresite.com/security060523/
  • supprimer le dossier security060523
  • modifier les droits d'écriture du fichier mainfile.php pour qu'il soit en lecture seule (chmod=444)


The XOOPS development team.

Note: 10.00 (1 vote) - Noter cet article -

Partager Twitter Partagez cette article sur GG+
Format imprimable Envoyer cet article à un ami
Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.
Semi pro
Inscrit le: 21/11/2004
De: Un petit coin de Belgique
Contributions: 826
satanas Posté le: 23/05/2006 16:06  Mis à jour: 23/05/2006 16:06
 Re: Patch de sécurité
Ha, bon un xoopsiens averti en vaut 2,

J'ai changé le register_globals à OFF ( J'espère que ca posera pas de problèmes à certains modules ) et en même temps appliqué le patch... on est jamais trop prudent...

Mais une question, comment faire pour une nouvelle installation pour que le patch soit automatiquement appliqué? Faut modifier mainfile.dist.php?
Xoops accro
Inscrit le: 25/02/2004
De: Région parisienne
Contributions: 2526
DuGris Posté le: 24/05/2006 00:05  Mis à jour: 24/05/2006 00:05
 Re: Patch de sécurité
Du travail en perspective pour tous (5 sites en ce qui me concerne )


Merci pour l'info :xfsuper:
Admin Frxoops
Inscrit le: 04/02/2003
De:
Contributions: 924
babouille Posté le: 24/05/2006 08:17  Mis à jour: 24/05/2006 09:45
 Re: Patch de sécurité
pour ceux qui veulent tester sur leurs sites si il est sur on, envoyer sur votre serveur un fichier info.php à la racine de votre serveur avec dedans:
<?
echo 
phpinfo() ;
?>

plus qu'à l'appeler par votre navigateur
-www.votresite.com/info.php

ne pas oublier de le virer ensuite.
pour info, infomaniak et 1&1 sont sur ON.
Xoops accro
Inscrit le: 15/07/2004
De:
Contributions: 4763
blueteen Posté le: 24/05/2006 08:34  Mis à jour: 24/05/2006 08:34
 Re: Patch de sécurité
Juste pour info, xoops protector vous protège déjà contre ce type d'attaque (si vous l'utilisez).
faites tout de même la modification du mainfile, 2 protections valent mieux qu'une
Régulier
Inscrit le: 17/05/2006
De:
Contributions: 412
Jey Posté le: 24/05/2006 10:50  Mis à jour: 24/05/2006 10:50
 Re: Patch de sécurité
Hello,

Je suis nouvel utilisateur depuis quelques jours. J'ai 2 questions, dont les réponses vont, à mon avis, interresser d'autres personnes.

1 - Y'a t'il eu d'autres patchs avant celui ci à appliquer lors d'une nouvelle installation ? Je n'ai rien lu dans les guides d'installation que j'ai suivi

2 - Lors de la sortie de patchs, sont-ils intégrés dans le fichier téléchargeable (le Zip de la 2.0.13.2 par exemple) ?

Merci
Xoops accro
Inscrit le: 18/01/2004
De: Ma Caverne
Contributions: 2839
Marco Posté le: 24/05/2006 11:59  Mis à jour: 24/05/2006 11:59
 Re: Patch de sécurité
Salut

il sera incorporé dans la 2.0.14 qui est en pre-test interne, et qui ne devrait pas trop tarder, me dit-on, à arriver en RC dans les étagères.
marc
Régulier
Inscrit le: 17/05/2006
De:
Contributions: 412
Jey Posté le: 24/05/2006 12:19  Mis à jour: 24/05/2006 12:19
 Re: Patch de sécurité
Merci.

Donc, à chaque patch, une nouvelle version suit.


Cette 2.0.14 apporte autre chose ou seulement l'ajout de ce patch ?
Semi pro
Inscrit le: 06/01/2004
De: Non loin de Paris
Contributions: 666
zoullou Posté le: 24/05/2006 16:47  Mis à jour: 24/05/2006 16:47
 Re: Patch de sécurité
Changelog provisoir qui est succeptible d'évoluer :

Citation :
- Fixed bug #1476719: GroupPermForm client validation problem (skalpa)
- Fixed bug #1456176: PHP 5 installation problems (skalpa)
- Fixed debug mode support from the administration interface (skalpa)
- Fixed the "update templates from file" feature (skalpa)
- Fixed bug #1477969: wrong version for module (phppp)
- Fixed bug for template path (phppp/wenmingpig)
- Fixed bug for redirect after login (phppp)
- Several XHTML compliance fixes (skalpa)
- Several MySQL 4.1/5 strict mode fixes (phppp+skalpa)

- Added new authentication system. Support for XOOPS Database, standard LDAP Directory, Microsoft Active Directory (pemen)
- New upgrade installer (pemen)
- Enhanced MySQL 4.1+ foreign encodings support (skalpa)
- Added avatar check to prevent unexpected avatar deletion (phppp)
- Added multiple file extensions sanitizing and image type check for uploader (phppp)
- Added ".svn" to preserved directory name; Removed unnecessary preg_match for directory/file name check (phppp+epaulin)
- Added xoops_redirect support to the closed site feature [patch #1206162/king] (skalpa)
- Added xoops_redirect support to history.go() (phppp)
- Added the possibility to display blocks below content (skalpa, original patch from McNaz)
- Backported the theme class from the 2.2/2.3 branches (skalpa)
- Added templates overloading capability to themes (skalpa)
- Added files resources overloading capability to themes (skalpa)
- Backported the URL generation Smarty plug-ins xoAppUrl and xoImgUrl from the 2.3 branch (skalpa)
- Backported the quick foreach and quick include Smarty plug-ins from the 2.3 branch (skalpa)
- Added the xoInboxCount Smarty plug-in (skalpa)
- Added text sanitizing to multiple files for $xoopsConfig['sitename'] and $xoopsConfig['slogan'] (phppp)
- Added localization for "Re" in comment (phppp)

- Re-ordered user menu items to something more logical [patch #1264900/rabideau] (skalpa)
- Gave modules the possibility to return a message for diplay during the oninstall function [patch #1352943/bruno2000] (skalpa)
- Merged/optimized the logger and error handling classes (skalpa)
- Merged the PHP Debug and MySQL debug modes (skalpa)
- Changed private message list to new-first order (phppp)

- Updated 3rd party libraries: Smarty 2.6.13, PHPMailer 1.73 (skalpa)
Propulsé avec XOOPS | Graphisme adapté par Tatane, Grosdunord, Montuy337513

84 Personne(s) en ligne (1 Personne(s) connectée(s) sur Articles) | Utilisateur(s): 0 | Invité(s): 84 | Plus ...