DESCRIPTION
PostNuke est un gestionnaire de contenu (CMS) Open-Source en développement ouvert. PostNuke est en constant développement mais un grand nombre de fonctions clés sont maintenant stables et PostNuke inclut une API complète pour les développeurs tiers (incluant l'intégration ADODB et le système de rendu Smarty).
L'équipe de développement de PostNuke a été avertie par le groupe secunia.com d'une vulnérabilité dans la classe d'abstraction ADODB.
VULNERABILITES
Exécution arbitraire de code SQL via adodb (lorsque le db-user est 'root' sans mot de passe)
SOLUTION
Il est recommandé que tout administrateur vérifie la présence des fichiers ou répertoires suivants et les supprime s'il y a lieu :
/includes/classes/adodb/server.php
/includes/classes/adodb/cute_icons _for_site
/includes/classes/adodb/PEAR
/includes/classes/adodb/contrib
/includes/classes/adodb/session/old
/includes/classes/adodb/tests
En sécurisant le répertoire /includes/classes d'un accès par le web fourni une plus grande assurance de sécurité contre les attaques potentielles (mais inconnues à ce jour) via les librairies.
Le .htaccess suivant sécurisera le répertoire /includes/classes :
Code: [Télécharger] [Cacher]
- order allow,deny
- deny from all
Les packs principaux ont été mis à jour, les fichiers hash sont :
PostNuke-0.761a.tar.gz
MD5: 0610c53c4bed0311862ccf422a68d6a5
SHA1: 0006f488cdb6ea53e532d9754a88fb17987a3a8c
PostNuke-0.761a.zip
MD5: e82bd983901e27e44ab8f82cc359dd00
SHA1: 3432699ded203a1b1fb2cdb6b1fab6cdbd367a4a
(Voir nos téléchargements)
CREDITS
Le trou de sécurité a été découvert par Secunia (http://www.secunia.com), des informations complémentaires furent rapportées par Maksymilian Arciemowicz (http://www.securityreason.com).
REFERENCES
http://www.phplens.com/lens/lensforum/msgs.php?id=9350
Andreas Krapohl [larsneo]
PostNuke CMS Development Team
Lisez bien la suite...
Lien vers l'Article
Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre
