Aller au contenu
Invision Board France

Patch pour une potentielle faille XSS dans IP.Board


Erwin

Messages recommandés

  • Administration

Faille XSS potentielle dans IP.Board

 

Il a été découvert qu'un bug dans Internet Explorer 6 et 7 peut permettre une attaque XSS (Cross-Site Scripting) en forçant une image ou fichier PDF uploadé d'être exécuté en tant que code HTML permettant ainsi une attaque en exécutant du code au travers du navigateur de l'utilisateur. Notez que l'impact de l'attaque XSS est significativement atténuée par les cookies "HttpOnly" introduits dans IP.Board 2.2.0. Cela signifie que les cookies sensibles dans IP.Board 2.2.0 et ultérieurs ne peuvent être lus via JavaScript, ce qui peut se produire en exploitant ce bug.

 

Bien que cela soit une faille importante d'Internet Explorer, un patch a été développé pour résoudre ce problème en scannant chaque fichier à la recherche de code malicieux. Si un fichier uploadé s'avère contenir du code qui ne devrait pas exister, tel que du HTML ou du JavaScript à l'intérieur d'une image, l'upload sera refusé.

 

Le package d'IPB a été mis à jour pour inclure ce patch. Pour mettre à jour une installation existante d'IP.Board 2.1.x ou 2.2.x, téléchargez le fichier approprié :

 

Version 2.1.x : class_upload.php (12.37Ko)

 

Version 2.2.x : class_upload.php (13.05ko)

 

Uploader simplement le fichier approprié dans le dossier ips_kernel en écrasant le fichier existant.

 

--------------------

Annonce originale IPS :

Possible XSS Issue Addressed in IP.Board

Lien vers le commentaire
Partager sur d’autres sites

  • Administration

Note : si après avoir téléchargé et installé ce patch, vous rencontrez l'erreur suivante lors d'un upload :

IPB WARNING [2] file_get_contents() expects at most 2 parameters, 5 given (Line: 484 of /ips_kernel/class_upload.php)

Vous devez alors re-télécharger le patch de sécurité et l'uploader en lieu et place du précédent.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.