phpBB-fr.com

[gillesg27]

Vu qu'il y a un peu d'activité sur le topic, j'en profite pour reposer ma question : est-ce que cette vulnérabilité ne concerne que la version 2.0.23 ? Et si je pose la question, c'est qu'étant pour l'instant toujours en 2.0.22, je m'interroge sur l'opportunité de passer à la 2.0.23. Donc bug propre à la 2.0.23 ou bug nouvellement détecté pour toutes les versions 2.0.x ?

[Saint-Pere]

généralement un bug est d'origine, il n'est apporté par une modification que TRES rarement. Donc oui ta version .22 connait la même vulnérabilité qui N'est PAS dramatique... franchement en quoi un hacker aurait intérêt à péter ton site ? tu représentes une entreprise au but douteux? un gouvernement? ton forum a-t-il un sujet extremiste? sinon t'as aucun risque, les hackers ne s'attaquent pas aux "petits".
De plus cette faille serait très difficilement portable sur un script pour des défacages de masse... donc rien à craindre.

[gillesg27]

Merci pour la réponse !

Je pensais bien qu'il y avait assez peu de chances que le bug provienne de la mise à jour mais je préfère poser la question pour être plus sûr, d'autant que le titre du topic peu laisser à penser que ça ne concerne que la 2.0.23. Peut-être serait-il préférable de mettre "2.O.x Session Hijacking Vulnerability".

Encore merci

[aide-informatique]

salut

petit Up

Pas Fix ?

[ABDev]

Non, aucun correctif disponible pour le moment.

[aide-informatique]

merci pour votre réponse mr ABDev

si j'ai supprimé les boutons Lock et unlock sur modcp_body.tpl et viewtopic.php ?

et supprime directement les messages ?

et éviter de travail avec fonction lock

[ABDev]

Gné ?

[aide-informatique]

pour que cette faille fonction il faut Lock un message par un admin ou modo ?

[ABDev]

Pas forcément, vu que d'autres actions sont possibles normalement. Néanmoins, d'après ce que j'ai pu en voir, cette faille CSRF concerne essentiellement la version 2.0.22, et pas forcément la 2.0.23
Je regarderai pour plus d'informations dès mon retour, mais aucun correctif n'a pour le moment été donné par le phpBB Group.
++

[aide-informatique]

ok merci pour votre aide Mr ABDev

[TelimTor]

Ce que je ne comprend pas avec cette faille, c'est comment, en postant une image, on peut récupérer les infos de session du modo/admin...

Mon forum est encore en version 2.0.17, et j'allais le mettre à jours (maintenant j'hésite un peut ^^)

[Saint-Pere]

Je vais essayer de t'expliquer qu'une vulnérabilité n'est pas la fin du monde..

Quand on upload/charge une image la seule vérification faite est sur son extension .gif .jpg .toto .zut et non sur son entête. Cad qu'ils ne vérifient pas le début du code de l'image, du coup tu prends un fichier test.php que tu renommes en test.gif tu peux alors envoyer du code sur le serveur web..

Il suffit de trouver une page, une procédure qui te permet d'exécuter toto.gif comme un fichier par exemple :

Code: Tout sélectionner

eval('include( images/toto.gif);');

Idem on peut alors manipuler un script javascript présentant lui aussi une vulnérabilité pour qu'il charge un fichier à nous et hop notre site se transforme alors en zombie permettant d'exécuter du code sur les ordinateurs de tes visiteurs.

Si il contient du code il pourra l'exécuter. Ne pas vérifier les entêtes n'est pas une faille en soit, mais une vulnérabilité possible. Si dans un mod il y a possibilité de charger une image, alors la vulnérabilité deviendra une faille!
Donc pas de panique, tous les scripts au monde phpbb, et tous les autres ont des vulnérabilités, découvertes ou non, mais heureusement pour nous la plupart du temps rien ne permet de les exploiter.

C'est plus clair ?

[TelimTor]

Je vois. Je me disais aussi qu'une simple image ne permettait pas de faire tant de chose ^_^

Donc, juste pour vérifier que j'ai bien compris :

Il faut que quelqu'un ait placé un scripte dans un des postes d'un sujet et qu'un modo/admin le verrouillé.

Après le verrou du sujet, le modo/admin est automatiquement redirigé vers le sujet, ce qui exécute le scripte, qui (je suppose) est programmé pour envoyer l'URL du modo/anim, qui elle même, contient maintenant son ID de session.

J'ai bon ?

Donc, effectivement, le risque est assez faible. De plus, une simple contre mesure serait d'enlever l'ID de session de l'URL (il me semble que c'est plus obligatoire en PHP 5, non ?). Ou même de rediriger le modo/anim vers l'index du forum au lieu du sujet fermé.