Mise à jour de la sécurité d'IPB 2.1.x (risque faible)

[Fabien]

Mise à jour de la sécurité d'IPB 2.1.x

 

IPS a détecté qu'une attaque XSS de risque relativement faible peut être exécutée sur compte administrateur dans IPB 2.1.x. Pour que cette attaque XSS se produise, l'utilisateur malveillant doit stocker, sur le serveur, un avatar qui semble être un fichier image valide mais il s'agit en réalité d'un script qui redirige l'utilisateur vers un autre site. L'administrateur doit avoir les accès "root" et doit charger l'avatar dans le PCA via le formulaire "Search Member".

 

Bien que l'attaque XSS nécessite des actions très spécifiques, IPS considère qu'il est nécessaire de faire cette mise à jour de sécurité. La mise à jour est simplement un fichier du PCA qui supprime l'affichage de l'avatar de la page des résultats de recherche. IPB 2.2.0, s'approchant actuellement du statut de release candidate, a un PCA mieux sécurisé ce qui signifie que cette attaque ne pourrait pas fonctionner.

 

Pour mettre à jour votre installation, téléchargez simplement l'archive disponible dans l'annonce d'IPS et envoyez le fichier "sources/action_admin/member.php" en remplaçant le fichier que vous utilisez actuellement.

 

>> Télécharger l'archive dans l'annonce d'IPS

[Fabien]

Instructions pour faire la mise à jour manuellement

Editer le fichier 'sources/action_admin/member.php'. Ligne 3456

$joined = $this->ipsclass->get_date( $r['joined'], 'JOINED' );

		$people .= <<<EOF
					<td width='{$td_width}%' align='left' class='$class'>

 

Ajouter au-dessus :

$avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";

		$joined = $this->ipsclass->get_date( $r['joined'], 'JOINED' );

		$people .= <<<EOF
				<td width='{$td_width}%' align='left' class='$class'>