Aller au contenu
Invision Board France

Alerte de sécurité pour IPB 2.0.0 à 2.1.7


Erwin

Messages recommandés

  • Administration

Toutes les versions d'IP.Board de la version 2.0.0 à la version 2.1.7 contiennent un outil de débuggage SQL (SQL Debug) permettant à l'administrateur de voir les requêtes exécutées sur la base de donnée par le produit. Ceci est très utile pour diagnostiquer un problème ou apprendre de quelle manière sont effectuées les transactions avec la base de donnée pour une zone particulière du produit.

 

Bien que l'outil de débuggage SQL soit très utile, le laisser activé alors qu'il n'est pas utilisé présente un risque significatif pour la sécurité. Par sa conception, cet outil affiche toutes les données passant entre le produit et votre base de donnée, ainsi un utilisateur malicieux pourrait voir des données potentiellement sensibles et les utiliser pour obtenir un niveau d'accès plus élevé (tel qu'administrateur) sans autorisation.

 

Il est important que l'outil de débuggage SQL soit désactivé lorsqu'il n'est pas utilisé. Pour désactiver l'outil de débuggage SQL, rendez-vous dans votre PCA, onglet Tools and Settings puis cliquez sur General Configuration. Vous trouverez une option nommée Enable SQL Debug Mode. Vérifiez qu'elle est bien sur No. Aussi, vérifiez que l'option Debug Level est sur 0 (zéro) et sauvegardez les paramètres.

 

Notez que l'outil de débuggage SQL n'est pas activé sur une installation standard par défaut. Sauf si vous avez vous-même activé cette option vous n'avez pas à vous inquiéter de ce problème, toutefois il est conseillé de vous assurez que cet outil est bien désactivé.

 

La prochaine version 2.2.0 d'IP.Board requiert la modification d'un fichier source pour activer le mode IN_DEV afin de permettre à cette outil de fonctionner. Ce changement permet d'éliminer la possibilité qu'un administrateur active accidentellement le mode de débuggage. D'autres changements dans le produit rendent ce problème moins dangereux.

 

--------------------

Annonce originale IPS :

IP.Board 2.0.0 to 2.1.7 Security Notice

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.