Bonjour,
Une vulnérabilité potentiel a été trouvé dans la méthode de filtrage des données pnVarPrepForStore
Si vous avez un site tournant sous pn0.764, il vous faut désactiver les MAGIC_QUOTES pour vous protéger.
Pour désactiver les MAGIC_QUOTES mettez dans un .htaccess à la racine :
php_flag magic_quotes_gpc Off
php_flag magic_quotes_runtime Off
php_flag magic_quotes_sybase Off
Merci à mumuri d'avoir levé l'alerte sur ce site.
Source :
http://www.postnuke-france.org/module-Forum-viewtopic-topic-2974-start-0.html
http://community.postnuke.com/modul...topic-54332.htm
http://www.securityfocus.com/bid/28407
http://www.developpez.net/forums/showthread.php?t=228390
Lien vers l'Article
| PostNuke - Vulnérabilité : SQL injection : pnVarPrepForStore()' | |
| Auteur | Sujet |
|---|---|
|
Gilles Grand Maître 
enregistré depuis : jui. 2005 Messages : 2195 dernière visite: 17.07.08 
|
   |
| 01.04.2008, 08:46 | 
|
|
|
|
pinau Bisu 
enregistré depuis : mar. 2007 Messages : 32 dernière visite: 28.06.08
|
Pour ce qui concerne les permissions du fichier .htaccess 644? http://www.jfk-assassinat.com |
| 01.04.2008, 18:57 |
|
|
|
|
YokaV Grand Maître
enregistré depuis : déc. 2005 Messages : 600 dernière visite: 20.06.08
|
Oui c'est suffisant.  ------------------------------------------- ...n'oubliez pas que l'outil Recherche est votre ami ! ...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^ |
| 01.04.2008, 19:07 |
|
|
|
|
pinau Bisu
enregistré depuis : mar. 2007 Messages : 32 dernière visite: 28.06.08
|
Merci pour l'info.
Toutefois la manip donne en page admin: Remarque : La fonction magic_quotes_gpc est désactivée ! Remarque : La fonction register_globals est activée ! Si la première partie est OK puisque c'est l'effet recherché, quid de la seconde (fonction register_globals activée)?  http://www.jfk-assassinat.com |
| 01.04.2008, 21:44 |
|
|
|
|
YokaV Grand Maître
enregistré depuis : déc. 2005 Messages : 600 dernière visite: 20.06.08
|
Essaye d'ajouter :
php_flag register_globals Off Mais cela signifie que le configuration de php faite par ton hébergeur n'est pas très efficace... ------------------------------------------- ...n'oubliez pas que l'outil Recherche est votre ami ! ...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^ |
| 01.04.2008, 22:41 |
|
|
|
|
pinau Bisu
enregistré depuis : mar. 2007 Messages : 32 dernière visite: 28.06.08
|
Merci pour l'info. Cà a marché.
Je n'ai plus que: Remarque : La fonction magic_quotes_gpc est désactivée ! Ce qui était l'effet recherché. Bonne soirée. http://www.jfk-assassinat.com |
| 01.04.2008, 23:16 |
|
|
|
|
CaptainZiq Récupérable 
enregistré depuis : sep. 2005 Messages : 115 dernière visite: 02.04.08
|
salut
chez OVH il faut mettre ce code dans le fichier htaccess Code: [Télécharger] [Cacher]
ca marcheCode: [Télécharger] [Cacher]
"bonjour chez Vous" |
| 02.04.2008, 17:55 |
|
|
|
Généré par pnForum Version 2.6
CA_Aphrodite design by Vjacheslav Trushkin - phpBBStyles.com
Ported to PostNuke pnForum by Chestnut - http://dev.pnconcept.com
CA_Aphrodite design by Vjacheslav Trushkin - phpBBStyles.com
Ported to PostNuke pnForum by Chestnut - http://dev.pnconcept.com
Tous les logos et marques de commerce sur ce site sont la propriété de leur auteur respectif.
Les commentaires sont la propriété des intervenants, tout le reste (c) 2004 par PostNuke-France.
Ce site Internet a été créé avec PostNuke, un système de portail Web écrit en PHP. PostNuke est distribué sous la licence GNU/GPL.
Vous avez accès au Fil de syndication de ce site en utilisant le fichier backend.php.
Ce site a fait l'objet d'une déclaration au CNIL sous le No 820332,
conformément à l'article 27 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Thème général adapté en partie d'un thème phpbbstyles.com
Page générée en 0,475410938263 seconde(s).