Bonjour tout le monde,
Le Groupe phpBB annonce la version de phpBB 2.0.13 Edition "Beware of the furries". Cette version corrige deux failles de sécurité, l'une d'elles étant critique. Elles ont été reportées quelques jours après que la 2.0.12 soit sortie et nous (phpbb group) n'auront sûrement plus à sortir une version aussi rapidement.
Heureusement les deux failles sont faciles à colmater et dans chaque cas juste une ligne doit être éditée.
La première faille est critique (session handling permettant à n'importe quel tiers malveillant d'obtenir les droits administrateurs) et nous vous recommandons d'effectuer la mise à jour le plus vite possible :
* Ouvrir : includes/sessions.php
Trouver :
Code:
if( $sessiondata['autologinid'] == $auto_login_key )
Remplacer par :
Code:
if( $sessiondata['autologinid'] === $auto_login_key )
Une deuxième issue mineure rapportée au bugtraq il y a plusieurs jours était le bug de révélation de chemin dans viewtopic.php qui est fixé en appliquant les étapes suivantes
* Ouvrir : viewtopic.php
Trouver :
Code:
$message = str_replace('\"', '"', substr(preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
Remplacer par :
Code:
$message = str_replace('\"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style=\"color:#" . $theme['fontcolor3'] . "\"><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
Comme pour toute nouvelle version, nous vous recommandons de mettre à jour au plus vite votre version de phpBB.
