2006 juin 6
Par Kozlika - Lien permanent
Olivier l'a annoncé sur le forum, une version 1.2.5 corrigeant une faille de sécurité est disponible et vivement recommandée :
DotClear passe en version 1.2.5 pour corriger une faille de sécurité divulguée hier. La faille est exploitable dans le cas d'un serveur configuré avec le paramètre "register_globals" et "allow_url_fopen" à "on". Dans ce cas, il est possible d'appeler un fichier particulier de dotclear et de l'utiliser pour inclure un fichier d'un autre serveur. Si vous avez suffisament d'imagination vous savez ce qu'il est possible de faire de ça.
La mise à jour est vivement recommandée. Vous pouvez également ne changer que le fichier inc/magic_strip.php, c'est suffisant et fonctionne même sur les plus vieilles installations de DotClear.
L'exploit ayant été révélé avant de nous prévenir, je ne citerai ni ne remercierai cette personne dont le comportement est simplement imbécile vis à vis de tous les utilisateurs.
Bonne mise à jour :)
Si vous ne souhaitez pas faire une mise à jour complète pour le moment mais seulement corriger la faille :
- Téléchargez le fichier en pièce jointe
magic_strip.php.txta renommer en enlevant.txtet à placer dans le répertoireinc/à la place du fichier existant.
Commentaires
ringtones free
allow_url_fopen=on est pourtant obligatoire quand on veut pouvoir dire au gestionnaire de plugins d'aller les télécharger/installer... Ou alors il y a un truc qui m'a échappé ?
Arnaud > Où est le problème ? :-)
Yen a pas, c'est juste que le problème n'apparaît que si les deux paramètres sont activés, mais on ne peut pas désactiver les deux :) J'aimerais bien moi, pouvoir remettre le paramètre url à off, comme il l'est par défaut ici...