Alerte de sécurité pour IPB 2.0.0 à 2.1.7

[Erwin]

Toutes les versions d'IP.Board de la version 2.0.0 à la version 2.1.7 contiennent un outil de débuggage SQL (SQL Debug) permettant à l'administrateur de voir les requêtes exécutées sur la base de donnée par le produit. Ceci est très utile pour diagnostiquer un problème ou apprendre de quelle manière sont effectuées les transactions avec la base de donnée pour une zone particulière du produit.

 

Bien que l'outil de débuggage SQL soit très utile, le laisser activé alors qu'il n'est pas utilisé présente un risque significatif pour la sécurité. Par sa conception, cet outil affiche toutes les données passant entre le produit et votre base de donnée, ainsi un utilisateur malicieux pourrait voir des données potentiellement sensibles et les utiliser pour obtenir un niveau d'accès plus élevé (tel qu'administrateur) sans autorisation.

 

Il est important que l'outil de débuggage SQL soit désactivé lorsqu'il n'est pas utilisé. Pour désactiver l'outil de débuggage SQL, rendez-vous dans votre PCA, onglet Tools and Settings puis cliquez sur General Configuration. Vous trouverez une option nommée Enable SQL Debug Mode. Vérifiez qu'elle est bien sur No. Aussi, vérifiez que l'option Debug Level est sur 0 (zéro) et sauvegardez les paramètres.

 

Notez que l'outil de débuggage SQL n'est pas activé sur une installation standard par défaut. Sauf si vous avez vous-même activé cette option vous n'avez pas à vous inquiéter de ce problème, toutefois il est conseillé de vous assurez que cet outil est bien désactivé.

 

La prochaine version 2.2.0 d'IP.Board requiert la modification d'un fichier source pour activer le mode IN_DEV afin de permettre à cette outil de fonctionner. Ce changement permet d'éliminer la possibilité qu'un administrateur active accidentellement le mode de débuggage. D'autres changements dans le produit rendent ce problème moins dangereux.

 

--------------------

Annonce originale IPS :

IP.Board 2.0.0 to 2.1.7 Security Notice