Patch de sécurité pour IP.Board 2.2.x et 2.3.x

[Youp3]

Patch de sécurité pour IP.Board 2.2.x et 2.3.x

 

 

IPS a publié un patch de sécurité impactant les versions 2.2.x et 2.3.x d'IP.Board. Veuillez appliquer ce patch dès que possible ou contactez le support technique IPS via la zone client si vous avez besoin d'assistance.

 

Issue

 

Il est possible de réaliser un exploit SQL distant et d'injecter du code SQL dans un requête IPB existante.

 

Patchez votre forum

 

Si vous avez téléchargé votre archive IP.Board après cette annonce, le patch est déjà inclus dedans. Pour patcher un installation existante, téléchargez simplement le fichier ci-dessous et écrasez sur votre forum : sources/action_public/xmlout.php

 

xmlout.zip

 

 

Modification manuelle

 

Si vous avez des connaissance en PHP et que vous voulez patchez manuellement votre fichier, vous pouvez réaliser les modifications suivantes dans : sources/action_public/xmlout.php

 

Ligne 1076, remplacez :

'where'  => "{$check_field}='{$name}'",

par :

'where'  => "{$check_field}='". $this->ipsclass->DB->add_slashes( $name ) . "'",

 

--------------------

Annonce originale IPS :

IP.Board 2.2.x and 2.3.x Security Patch

[TiChou]

Merci pour cette news Youp3

[guymauve]

Merci pour l'info.

 

Par contre je ne vois pas la news dans mon ACP ?

[Youp3]

Ah oui tient, tu as raison.

[belline]

Je ne vois pas non plus d'update de securité dans le Client Area d'Invision....

[Youp3]

Cela doit être un oubli. Ils ont publié une annonce sur leur forum et j'ai reçu deux courriels de leur part.

 

Ne trainez pas pour patcher, c'est très simple et se fait sans soucis.

[Erwin]

Merci Youp.

[phil220282]

Thxs pour l'info

[TiChou]

Je l'ai bien eu finalement dans mon flux RSS un peu plus tard

[Youp3]

Un bug est apparu avec le dernièr package 2.3.5 disponible chez IPS. Voici un fix maison en attendant une éventuelle correction de la part d'IPS.