Aller au contenu
Invision Board France

Mise à jour de sécurité pour IP.Board 3.3.x-3.4.x et IP.Gallery 4.2.x-5.0.x

Youp3

Par Youp3
dans Invision Power Services

 Partager

Messages recommandés

  • Administration
Youp3 Apericube

Youp3

Posté(e)
  • Administration
Posté(e)

IPS a publié des correctifs de sécurité pour IP.Board 3.3.4, IP.Board 3.4.5, IP.Gallery 4.2.1 et IP.Gallery 5.0.5 pour corriger quatre problèmes XSS (cross-site scripting) qui leur ont récemment été signalés.

 

Il a été porté à l’attention d’IPS qu’un problème de sécurité non corrigé existait dans le script tiers « Flowplayer » inclus dans IP.Board. Bien que ce script soit inclus dans IP.Board, il est actuellement uniquement utilisé par IP.Gallery pour faciliter l’inclusion de certain fichiers média lorsque l’administrateur permet qu’ils soient uploadés. L’exploit qui a été signalé à IPS peut exposer à un type spécifique de vulnérabilité XSS au travers de Flowplayer et nécessite un certain niveau d’interaction utilisateur pour se déclencher (en d’autres termes, un utilisateur doit suivre un lien vers la cible touchée - à la connaissance d’IPS, ce problème ne peut pas se déclencher automatiquement en consultant une page normalement accessible via une navigation typique dans le logiciel).

Il a été porté à l’attention d’IPS qu’un problème de sécurité non corrigé existait dans le script tiers « swfupload » inclus dans IP.Board. La vulnérabilité XSS, comme celle décrite précédemment, nécessite qu’un utilisateur visite un lien spécialement conçu pour un accès direct vers le fichier flash swfupload, où un fichier javascript arbitraire peut être exécuté.

Il a été porté à l’attention d’IPS que deux vulnérabilités XSS potentielles existent dans les routines de l’éditeur d’IP.Board. Ces vulnérabilité ne sont pas persistantes (ce qui signifie que vous pouvez uniquement les déclencher contre vous-même, contrairement à provoquer leur stockage dans la base de données et de les déclencher contre un autre utilisateur), néanmoins IPS pense que c’est dans l’intérêt de ses clients de publier une mise à jour pour corriger les problèmes signalés.


IPS a publié aujourd’hui les correctifs pour ces quatre problèmes.

 

Pour appliquer les correctifs, veuillez suivre les instructions suivantes :

  • Identifiez la version d’IP.Board que vous utilisez. Si vous utilisez IP.Board 3.3.x, vous aurez aussi besoin d’identifier la version d’IP.Gallery que vous utilisez.
  • Téléchargez le fichier de correctifs approprié ci-dessous.
  • Décompressez l’archive sur votre ordinateur.
  • Envoyez le contenu du dossier « upload » à la racine de votre installation IP.Board (là où se situe le fichier conf_global.php), en écrasant tous les fichiers existants. Veuillez vous référer à Please refer to cet article de la base de connaissances si vous n’êtes pas familier avec l’utilisation de FTP pour transférer des fichiers sur votre serveur.
  • SI VOUS UTILISEZ  IP.BOARD 3.4.0 - 3.4.4,  vous devrez le mettre à jour en version 3.4.5,  qui inclue depuis aujourd’hui ces correctifs. 

 

Si vous êtes un client de l’offre IPS Community in the Cloud utilisant IP.Board 3.3 ou plus récent, aucune action n’est nécessaire; IPS a déjà corrigé automatiquement votre compte. Si vous utilisez une version antérieure à IP.Board 3.3, vous devez contacter le support pour une mise à niveau.
 

 

Si vous utilisez IP.Board 3.4.x, veuillez utiliser le zip suivant :
zip.gif  ipb3_4_and_gallery_5_0-9-13-2013.zip   79.87Ko

Si vous utilisez IP.Board 3.3.x sans IP.Gallery, ou avec IP.Gallery 5.0.x, veuillez utiliser le zip suivant :
zip.gif  ipb3_3_and_gallery_5_0-9-13-2013.zip   85.32Ko

Si vous utilisez IP.Board 3.3.x avec IP.Gallery 4.2.x, veuillez utiliser le zip suivant :
zip.gif  ipb3_3_and_gallery_4_2-9-13-2013.zip   84.91Ko

 

Au moment de la rédaction de ce message, les archives complètes d’IP.Board et IP.Gallery dans l’espace client chez IPS ont été mises à jour.

Si vous utilisez une version d’IP.Board ou IP.Gallery ne se trouvant pas dans la liste précédente, IPS vous recommande de passer à la dernière version pour obtenir ces correctifs de sécurité, ainsi que d’autre correctifs de sécurité et de bogue.



IPS aimerait remercier Sahil Saif pour avoir signalé la vulnérabilité flowplayer.

IPS aimerait remercier Masato Kinugawa pour avoir signalé la vulnérabilité swfupload.

IPS aimerait remercier Jakub de http://hauntit.blogspot.com/ pour avoir signalé les vulnérabilités de l’éditeur.

 

--------------------
Annonce originale IPS :

IP.Board 3.3.x-3.4.x and IP.Gallery 4.2.x-5.0.x Security Update

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement
×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

En utilisant ce site, vous êtes d’accords avec nos Conditions d’utilisation. Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookies, sinon nous supposerons que vous êtes d’accord pour continuer.