Aller au contenu
Invision Board France

Mise à jour de la sécurité.


thewiseoldman

Messages recommandés

IPS vient de mettre à jour IPB 2.0.3 vous pouvez télécharger à nouveau IPB pour mettre à jour les fichiers sources/topics.php et sources/search.php

 

Vous pouvez aussi patcher manuellement :

 

Ouvrez sources/topics.php vers la ligne : 805

 

//-----------------------------------------

// Highlight...

//-----------------------------------------

 

if ($ibforums->input['hl'])

{

$ibforums->input['hl'] = $std->clean_value(urldecode($ibforums->input['hl']));

$loosematch = strstr( $ibforums->input['hl'], '*' ) ? 1 : 0;

$keywords = str_replace( '*', '', str_replace( "+", " ", str_replace( '-', '', trim($ibforums->input['hl']) ) ) );

$word_array = array();

$endmatch1 = "";

$endmatch2 = "(.)";

 

Ouvrez "sources/search.php" vers la ligne 1499

 

function convert_highlite_words($words="")

{

global $std;

$words = $std->clean_value(trim(urldecode($words)));

Lien vers le commentaire
Partager sur d’autres sites

  • 4 mois après...
  • Administration

Récapitulatif des failles rapportées le 28 avril 2005

 

>> Annonce originale : IPB Security Update

 

Produits concernés :

- Invision Power Board v2.0.3 (et antérieure)

- Invision Power Board v1.3.x

- Invision Power Gallery v1.3.1

- Invision Community Blog v1.1.1

 

Note : des versions antérieures de ces produits sont susceptibles d'être concernés également.

 

Invision Power Board v2.0.3

 

Note : ces failles sont déjà corrigées dans IPB v2.0.4. Mettez votre forum à jour en version 2.0.4 si ce n'est pas déjà fait.

 

Ouvrir ./sources/topics.php

Modifier aux alentours de la ligne 805 :

//-----------------------------------------

// Highlight...

//-----------------------------------------

 

if ($ibforums->input['hl'])

{

$ibforums->input['hl'] = $std->clean_value(urldecode($ibforums->input['hl']));

$loosematch = strstr( $ibforums->input['hl'], '*' ) ? 1 : 0;

$keywords = str_replace( '*', '', str_replace( "+", " ", str_replace( '-', '', trim($ibforums->input['hl']) ) ) );

$word_array = array();

$endmatch1 = "";

$endmatch2 = "(.)";

 

Ouvrir ./sources/search.php

Modifier aux alentours de la ligne 1499 :

function convert_highlite_words($words="")

{

global $std;

$words = $std->clean_value(trim(urldecode($words)));

 

Ouvrir ./sources/functions.php

Modifier la fonction my_getcookie() par celle-ci, aux alentours de la ligne 1925 :

function my_getcookie($name)
{
global $ibforums;

if ( isset($_COOKIE[$ibforums->vars['cookie_id'].$name]) )
{
if ( ! in_array( $name, array('topicsread', 'forum_read', 'collapseprefs') ) )
{
return $this->clean_value(urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]));
}
else
{
return urldecode($_COOKIE[$ibforums->vars['cookie_id'].$name]);
}
}
else
{
return FALSE;
}
}

 

Ouvrir ./sources/usercp.php

Modifier aux alentours de la ligne 382 :

if ( $id )

{

$DB->simple_exec_query( array( 'delete' => 'announcements', 'where' => 'announce_id='.$id ) );

}

 

Invision Power Board v1.3.x

 

Ouvrir ./sources/Topics.php

Trouver, aux alentours de la ligne 637 :

$keywords = str_replace( "+", " ", $ibforums->input['hl'] );

Remplacer par :

$keywords = str_replace( "+", " ", $std->clean_value(urldecode($ibforums->input['hl'])));

 

Ouvrir ./sources/Search.php

Trouver aux alentours de la ligne 1513 :

  	 $words = trim(urldecode($words));

Remplacer par :

  	 global $std;
  	 
  	 $words = $std->clean_value(trim(urldecode($words)));

 

Ouvrir ./sources/functions.php

Trouver la fonction my_getcookie(), aux alentours de la ligne 1374 :

function my_getcookie($name)
   {
  	 global $INFO, $HTTP_COOKIE_VARS;
  	 
  	 if (isset($HTTP_COOKIE_VARS[$INFO['cookie_id'].$name]))
  	 {
     return urldecode($HTTP_COOKIE_VARS[$INFO['cookie_id'].$name]);
  	 }
  	 else
  	 {
     return FALSE;
  	 }
  	 
   }

Remplacer par :

function my_getcookie($name)
{
global $INFO;

if ( isset($_COOKIE[$INFO['cookie_id'].$name]) )
{
if ( ! in_array( $name, array('topicsread', 'forum_read', 'collapseprefs') ) )
{
return $this->clean_value(urldecode($_COOKIE[$INFO['cookie_id'].$name]));
}
else
{
return urldecode($_COOKIE[$INFO['cookie_id'].$name]);
}
}
else
{
return FALSE;
}
}

 

Invision Power Gallery v1.3.1

 

Note : l'archive zip d'IPG a été mise à jour. Pour mettre à jour votre copie d'IPG, connectez-vous dans votre espace client IPS et téléchargez la dernière version d'IPG.

 

Ouvrir ./modules/gallery/post.php

Trouver aux alentours de la ligne 134 :

case 'editreply':

Ajouter en dessous :

$ibforums->input['comment'] = intval( $ibforums->input['comment'] );

 

Ouvrir ./modules/gallery/img_view.php

Trouver aux alentours de la ligne 579 :

if( $ibforums->vars['gallery_use_rate'] && ( $this->cat['rate'] || $this->album ) )

Ajouter au-dessus :

$ibforums->vars['gallery_use_rate'] = intval( $ibforums->vars['gallery_use_rate'] );

 

Invision Community Blog v1.1.1

 

Note : ces failles sont déjà corrigées dans ICG 1.1.2. Pour mettre à jour votre copie d'ICG, connectez-vous dans votre espace client IPS et téléchargez la dernière version d'ICG.

 

Ouvrir ./modules/blog/search.php

Modifier aux alentours des lignes 501~503 :

global $std;

 

$words = $std->clean_value(trim(urldecode($words)));

 

------

N.B. : ces failles sont susceptibles de toucher également des versions antérieures de ces produits. Il est fortement recommandé de vous mettre à jour vers les dernières versions des produits Invision.

Ce message contient le récapitulatif des failles corrigées le 28 avril 2005, si vos versions sont déjà à jour ou si vous avez déjà appliqué les correctifs, inutile de les appliquer de nouveau.

Modifié par Erwin
Lien vers le commentaire
Partager sur d’autres sites

  • Administration

Récapitulatif des failles rapportées le 10 mai 2005

 

>> Annonces originales :

IPB Security Update (10 may 2005)

 

 

Produits concernés :

- Invision Power Board v2.0.4 (et antérieures)

- Invision Power Board v1.3.x

 

Note : des versions antérieures de ces produits sont susceptibles d'être concernés également.

 

Invision Power Board v2.0.x

 

Note : le zip du pack téléchargement d'IPB 2.0.4 a été mis à jour le 10 mai. Si vous avez téléchargé IPB après cette date, vous êtes à jour. Si ce n'est pas le cas, vous pouvez retélécharger IPB depuis votre espace client pour avoir des fichiers à jour.

 

Ouvrir ./sources/post.php

Modifier aux alentours de la ligne 579 :

//-----------------------------------------

// Add to mail queue

//-----------------------------------------

 

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['tt_subject'], 'mail_content' => $std->txt_safeslashes($this->email->message) ) );

 

Ouvrir ./sources/post.php

Modifier aux alentours de la ligne 693 :

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['ft_subject'], 'mail_content' => $std->txt_safeslashes($this->email->message) ) );

 

Ouvrir ./sources/lib/usercp_functions.php

Modifier aux alentours de la ligne 948 :

//-----------------------------------------

// Check to make sure we don't just have

// http:// in the URL box..

//-----------------------------------------

 

if ( preg_match( "/^http://$/i", $ibforums->input['url_avatar']) )

{

$ibforums->input['url_avatar'] = "";

}

 

if ( preg_match( "#java script:#is", $ibforums->input['url_avatar'] ) )

{

$ibforums->input['url_avatar'] = "";

}

 

if ( empty($ibforums->input['url_avatar']) )

 

 

Invision Power Board v1.3.x

 

Note : la faille du fichier Post.php ne concerne pas IPB 1.3.x

 

Ouvrir ./sources/lib/usercp_functions.php

Modifier aux alentours de la ligne 705 :

//-----------------------------------------

// Check to make sure we don't just have

// http:// in the URL box..

//-----------------------------------------

 

if ( preg_match( "/^http://$/i", $ibforums->input['url_avatar']) )

{

$ibforums->input['url_avatar'] = "";

}

 

if ( preg_match( "#java script:#is", $ibforums->input['url_avatar'] ) )

{

$ibforums->input['url_avatar'] = "";

}

 

if ( empty($ibforums->input['url_avatar']) )

 

----

N.B. : Invision Community Blog v1.1.2 a également fait l'objet d'une mise à jour de sécurité le 10 mai. Si vous avez téléchargé ICB après cette date, vous êtes à jour. Si ce n'est pas le cas, téléchargez la version à jour depuis votre espace client IPS.

Ce message est un récapitulatif des failles corrigées le 10 mai. Si vous avez téléchargé IPB ou ICB chez IPS après cette date, vous êtes déjà à jour. Si vous avez déjà appliqué ces correctifs, inutile de les appliquer à nouveau.

Modifié par Erwin
Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...
  • Administration

Les informations sur les mises à jour de sécurité d'IPB 1.3 (mod de sécurité, Antispam,...) ont été déplacées.

Désormais, vous devrez suivre ce sujet : Mises à jour de sécurité pour IPB 1.3.x

 

Ce sujet sera prochainement désépinglé. Merci.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.