Mise à jour de sécurité critique pour IP.Board 3.2.x, 3.3.x et 3.4.x

[Youp3]

Mise à jour de sécurité : 3 mai 2013

 

Une faille de sécurité critique permettant un accès non autorisé à un compte administrateur a été signalée à IPS. Un correctif a été publié afin de résoudre ce problème. Dans l'intérêt de laisser du temps aux clients de la société d'appliquer le correctif, IPS ne publie pas pour le moment les détails de cette faille.

 

Instructions

IPS vous fourni un patch pour IP.Board versions 3.4, 3.3 et 3.2. Si vous utilisez une version inférieure à la 3.2, vous devriez mettre à jour votre forum pour bénéficier des dernières mises à jours de sécurité.

Bien qu'IPS n'applique pas le correctif pour vous, sa mise en oeuvre est très facile :

• Identifiez la version d'IP.Board que vous utilisez.
• Téléchargez et dézippez le patch approprié correspondant à votre version (voir ci dessous).
• Uploadez le contenu du fichier zip dans le dossier principal de votre IP.Board.
• Si vous avez renommez le dossier admin, copiez alors manuellement les fichiers dans le dossier admin approprié.

IP.Board 3.4.x
 3.4.zip   76.46K

IP.Board 3.3.x
 3.3.zip   70.88K

IP.Board 3.2.x
 3.2.zip   64.78K

 

 

Notes:

• Quand vous appliquez la mise à jour de sécurité, le bulletin d'information présent dans votre PC Admin restera affiché malgré tout. IPS le laissera visible pendant au moins une semaine à dater de la sortie de cette mise à jour de sécurité.
• Les principaux logiciels accessibles en téléchargement via votre espace client ont déjà été mis à jour avec ce correctif.
• Si vous êtes un client hébergé chez IPS (solutions IPS Hosting), votre communauté a été automatiquement corrigée.
• Comme il ne s'agit pas d'une mise à jour complète mais d'un simple envoi de fichier et que vous pouvez appliquer le patch vous-même, l'équipe IPS n'appliquera pas le correctif pour vous dans le cadre du service de support.

 

IPS remercie le chercheur en sécurité John JEAN pour son signalement responsable de cette faille. Les informations qui suivent sont publiées avec sa permission :

• Auteur : John JEAN
• Compte Twitter : @johnjean
• Poste : Chercheur en sécurité
• Entreprise : Wargan Solutions
• Site web de l'entreprise : http://www.wargan.com

--------------------
Annonce originale IPS :
IP.Board 3.2.x, 3.3.x & 3.4.x Critical Security Update

[Ghostaunt]

Aucun problème de mon coté au passage de la 3.4.4 et de la mise à jour critique.

[Erwin]

Bonsoir,

 

Si vous n'avez pas encore mis à jour vos forums, il est fortement recommandé de le faire au plus tôt, les détails de cette faille de sécurité ayant été rendus publiques le 13 de ce mois, il est désormais plus que certain que celle-ci ne tardera pas à être expoitée.

[Erwin]

Pour ceux d'entre vous qui utilisent toujours la version 3.1.x d'IP.Board pour diverses raisons, voici un moyen de patcher vos forums. N.B : ceci est basé sur les correctifs publiés par IPS pour les autres versions, sans aucune garantie.

 

Dans le fichier admin/sources/base/core.php, chercher :

static public function checkEmailAddress( $email = "" )
{
    $email = trim($email);

    $email = str_replace( " ", "", $email );

Commenter les deux lignes en question :

//$email = trim($email);

//$email = str_replace( " ", "", $email );

Chercher ensuite dans static public function load :

if ( strstr( $member_key, '@' ) )
{
    $member_value = "'" . ipsRegistry::DB()->addSlashes( strtolower( $member_key ) ) . "'";
    $member_field = 'email';
}

Remplacer par :

if ( strstr( $member_key, '@' ) )
{
    if( strstr( $member_key, ' ' ) )
    {
        $member_key    = '';
    }

    $member_value = "'" . ipsRegistry::DB()->addSlashes( strtolower( $member_key ) ) . "'";
    $member_field = 'email';
}

Chercher ensuite dans cette même fonction :

case 'email':
    if ( is_array( $member_key ) )
    {
        array_walk( $member_key, create_function( '&$v,$k', '$v="\'".ipsRegistry::DB()->addSlashes( strtolower( $v ) ) . "\'";' ) );
        $multiple_ids = $member_key;
    }
    else
    {
        $member_value = "'" . ipsRegistry::DB()->addSlashes( strtolower( $member_key ) ) . "'";
    }
    $member_field = 'email';
break;

Remplacer par :

case 'email':
    if ( is_array( $member_key ) )
    {
        array_walk( $member_key, create_function( '&$v,$k', '$v="\'".( ( strstr( $v, \' \' ) ) ? \'\' : ipsRegistry::DB()->addSlashes( strtolower( $v ) ) ) . "\'";' ) );
        $multiple_ids = $member_key;
    }
    else
    {
        if( strstr( $member_key, ' ' ) )
        {
            $member_key    = '';
        }

        $member_value = "'" . ipsRegistry::DB()->addSlashes( strtolower( $member_key ) ) . "'";
    }
    $member_field = 'email';
break;

Enregistrez puis envoyez sur votre serveur. Il est recommandé de faire une sauvegarde de ce fichier au préalable.

[PersonalMode]

Merci du Tuyau Erwin