Le module PostSchedule(calendrier) est vulnérable à une attaque de type SQL injection. Certains sites ont déjà été hacké depuis l'annonce public de cette faille sur le site milw0rm.com la semaine passée.
Pour corriger rapidement ce problème nous recommandons de remplacer le fichier pnuserapi.php par le contenu de PostSchedule-Quickfix.zip qui peut être téléchargé ici. Comme solution à plus long terme, nous recommandons de remplacer ce module pour lequel le développement a été stoppé il y a un moment. Pour la version .764 PGCalender ou PostCalendar pourraient être une alternative tandis que pour la version .8 il existe crpcalendar, Eventliner ou TimeIt.
L'équipe de développement n'assure aucun support pour cette correction de PostSchedule, vous pouvez l'utiliser mais c'est à votre propre risque. Cela peut (ou peut-être pas) corriger la faille et il est possible qu'il en existe d'autres dans ce module. Si quelqu'un a envie de s'occuper plus attentivement de ce problème, libre à lui de le faire.
Lien vers l'Article
-------------------------------------------
...n'oubliez pas que l'outil Recherche est votre ami !
...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^
| PostNuke - Sécurité: SQL injection possible avec PostSchedul | |
| Auteur | Sujet |
|---|---|
|
YokaV Grand Maître 
enregistré depuis : déc. 2005 Messages : 600 dernière visite: 20.06.08 
|
   |
| 29.04.2008, 11:11 | 
|
|
|
|
Gilles Grand Maître
enregistré depuis : jui. 2005 Messages : 2191 dernière visite: 04.07.08
|
Pour votre information : différents sites ont déjà été touchés dont certains maintenus par des membres de la communauté francophone. Il est impératif de faire rapidement cette mise à jour, et de manière générale d'avoir des backups des fichiers ET de la base de donnée de votre site internet, de tester la remise en route de votre site avant qu'il ne plante
 A vos claviers ! Gilles ><>° |
| 29.04.2008, 11:17 |
|
|
|
|
YokaV Grand Maître
enregistré depuis : déc. 2005 Messages : 600 dernière visite: 20.06.08
|
Pour ma part je rajouterais que bien que le patch proposé corrige la faille il est grandement préférable de changer de module de calendrier!
------------------------------------------- ...n'oubliez pas que l'outil Recherche est votre ami ! ...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^ |
| 29.04.2008, 11:22 |
|
|
|
|
mumuri Franc-Maçon 
enregistré depuis : oct. 2005 Messages : 639 dernière visite: 04.07.08
|
est ce que vous pensez que cette recrudescence de faille est du au faites que certains hackers vident leur tiroirs avant la sortie de la pn0.8 ?
|
| 01.05.2008, 11:37 |
|
|
|
|
Gilles Grand Maître
enregistré depuis : jui. 2005 Messages : 2191 dernière visite: 04.07.08
|
Non, je ne pense pas. Il se trouve que la faille aie été exploitée car elle a été découverte récemment. Je ne vois pas l'intérêt, d'autant qu'il est très difficile de savoir quand sortira Pn 0.8 !
++ Gilles ><>° |
| 01.05.2008, 17:00 |
|
|
|
Généré par pnForum Version 2.6
CA_Aphrodite design by Vjacheslav Trushkin - phpBBStyles.com
Ported to PostNuke pnForum by Chestnut - http://dev.pnconcept.com
CA_Aphrodite design by Vjacheslav Trushkin - phpBBStyles.com
Ported to PostNuke pnForum by Chestnut - http://dev.pnconcept.com
Tous les logos et marques de commerce sur ce site sont la propriété de leur auteur respectif.
Les commentaires sont la propriété des intervenants, tout le reste (c) 2004 par PostNuke-France.
Ce site Internet a été créé avec PostNuke, un système de portail Web écrit en PHP. PostNuke est distribué sous la licence GNU/GPL.
Vous avez accès au Fil de syndication de ce site en utilisant le fichier backend.php.
Ce site a fait l'objet d'une déclaration au CNIL sous le No 820332,
conformément à l'article 27 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Thème général adapté en partie d'un thème phpbbstyles.com
Page générée en 0,57629108429 seconde(s).