Jump to content
Invision Board France

Amélioration de la sécurité d'IP.Board 2.3.4 et correction d'un bogue DST

Youp3

By Youp3
in Invision Power Services

 Share

Recommended Posts

  • Administration
Youp3 Apericube

Youp3

Posted
  • Administration
Posted

IPS vient de publier une mise à jour de sécurité pour IP.Board 2.3.4 corrigeant aussi un bogue DST

 

Une mise à jour de sécurité mineure vient d'être publiée, afin de corriger certains problèmes récemment signalés concernant divers secteurs d'IP.Board 2.3.4. Ces problèmes de sécurité sont mineurs et leur impact minime en raison d'autres fonctions de sécurité du produit. IPS remercie les utilisateurs et administrateurs de criticalsecurity.net pour leur aide afin d'identifier les problèmes et pour tester les correctifs.

 

Problème

 

L'imbrication de manière incorrecte de BBcodes personnalisés peut entrainer un code HTML final invalide avec éventuellement une injection de code HTML non désiré dans le tag. Utilisé dans des conditions particulières, une personne peut injecter un gestionnaire d'évènements JavaScript dans le résultat final. Nous avons aussi ajouté un paramètre "allowscriptaccess" pour les animations en Flash analysées dans IPB pour empêcher les animations en Flash et les avatars d'avoir accès au JavaScript. Ces problèmes sont cependant relatifs en raison de l'utilisation des cookies HttpOnly dans IP.Board qui limite l'impact direct.

 

En outre, nous avons corrigé un bogue récent avec la correction automatique du DST d'IPB qui est apparu depuis le dernier changement horaire.

 

Mise à jour de votre installation d'IP.Board

 

Le pack IP.Board 2.3.4 disponible dans l'espace client a déjà été mis à jour avec les changements requis. Si vous téléchargez IP.Board après la date de cette annonce (13/03/2008 @ 15h32), votre installation sera à jour.

 

Fichiers modifiés

 

Téléchargez l'archive Zip contenant les fichiers mis à jour pour patcher votre installation. Uploadez simplement les fichiers en écrasant les anciens.

 

patch03112008.zip (60,7 Ko)

 

--------------------

Annonce originale IPS :

IP.Board 2.3.4 Security Enhancements and DST Bug Fix

Link to comment
Share on other sites
Darken Apericube

Darken

Posted
Posted (edited)

Personnellement, je ne suis pas satisfait de ce fix pour le DST. Un fix en javascript... regardez le code, vous allez comprendre. Tracker > DST issue.

Edited by Darken
Link to comment
Share on other sites
  • Administration
Erwin Apericube

Erwin

Posted
  • Administration
Posted

+1 pour Darken. Pour IPS ça reste à voir. J'ai l'impression que c'est plutôt un fix fait en vitesse pour se débarasser du problème sans vraiment le traiter...

Link to comment
Share on other sites
Darken Apericube

Darken

Posted
Posted

Oui, et en même temps, FrSIRT remonte un bug de sécurité de WinRAR où le logiciel a été mis à jour v'là au moins 6 à 8 mois. Bref, parfois, je ne comprends pas ce site Internet.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.