Faille de sécurité sur le Dragoran Portal

[Erwin]

Des attaques de forums IPB utilisant le portail Dragoran Portal ont été signalées, exploitant une faille de sécurité de ce portail.

Ces attaques peuvent permettre à un tiers de gagner certains privilèges, dont les droits administrateurs. Ceci peut permettre aux attaquants d'uploader sur le site visé un cheval de troie en PHP en utilisant la fonction d'upload de smileys du PC Administrateur.

 

Peter de IBForen.de propose actuellement un patch pour le Dragoran Portal. Néanmoins il est très important d'appliquer également les patchs de sécurité pour IPB, en suivant les Annonces Invision Power Services (et en installant les mods Security & Bugs Update proposée par IBForen pour IPB 1.3 et 1.3.1).

 

Il est également recommandé de protéger l'accès au PC Admin via .htaccess et de contrôler les dossiers /html et /uploads afin de vous assurer qu'ils ne contiennent pas de fichier PHP douteux.

 

Merci à Peter pour cette alerte.

 

Edit : la version 2.0 est également concernée, tout forum IPB utilisant le Dragoran Portal est concerné.

[Erwin]

Voici une actualisation du patch pour le Dragoran Portal 1.4.7 par Peter (sur Invisionize).

 

Merci à Darken pour l'alerte.