Vulnérablité phpbb - Programmation Web (HTML, PHP, ASP, Java, XML, etc.)

enzo19 · #1 14-12-2002, 12:05

Une vulnérabilité CSS est présente dans PhpBB derniere version ( jusqu'a la 2.03 ). cette vulnerabilité permet, entre autre, de recuperer les passes admin ou user.

La faille provient du fichier viewtopic.php. Dans ce fichier, la function highlight n'est pas filtrée.

A placer au debut de viewtopic.php pr vous protéger :

$HTTP_GET_VARS['highlight'] = htmlspecialchars($HTTP_GET_VARS['highlight']);
$HTTP_GET_VARS['highlight'] = PREG_Replace("/[A-Z&.;)~!@#$%^''*\{\}\/]/i", "",$HTTP_GET_VARS['highlight']);

Cougar · #2 14-12-2002, 12:07

dis le plus fort que tout le monde l'entende !

enzo19 · #3 14-12-2002, 12:26

Bon ben j'enlève le code permettant de voir la faille et je laisse la soluce alors

Méchant va ! Je t'ai vu prendre des notes en plus

J'édite et laisse que la soluce

Werner · #4 14-12-2002, 12:36

Non laisses tout c'est intéressant

**Fred** · #5 14-12-2002, 17:40

Bah oui, remets l'exploit qu'on voit de quoi ça parle, parce qu'une vulnérabilité CSS c'est très, très peu probable ... ou alors c'est vraiment un bug con

Si tu parles tu Highlighting bug, c'est pas vraiment du CSS, la soluce dispo officiellement a l'air bien plus complexe que celle que tu préconises :
http://www.phpbb.com/phpBB/viewtopic.php?t=56283

Je lis d'ailleurs que le fix que préconise celui qui a diffusé l'exploit ne marche pas, perso j'ai utilisé le fix officiel ...

enzo19 · #6 15-12-2002, 19:16

C'est un conseil de modif de code simple et qui à fait c'est preuve

Pourquoi faire compliqué quand on peut faire simple ?

**Fred** · #7 15-12-2002, 20:05

Parce que ca provient de sources officielles, et que c'est pas fait à la va-vite ... tu devrais suivre les conseils du team de dévelopement, crois moi. Ils ont peut-être pallié à d'autres éventualités de hack par ce biais

enzo19 · #8 16-12-2002, 08:26

OK... ceux qui ont phpbb feront ce qu'il leur convient

**Fred** · #9 16-12-2002, 20:09

J'ai mon phpBB, et j'ai fait ce qu'il convient : appliquer les patches officiels

enzo19 · #10 17-12-2002, 07:21

Parfait ! Comme c'est eux les concepteurs de la première faille, tu n'as qu'à espérer qu'il n'en ont pas mis une autre

**Fred** · #11 17-12-2002, 07:26

Qu'est-ce que tu veux dire ? Que la faille était intentionelle de la part des développeurs ?!?? Pas dans de l'Open Source Enzo ...

llaumgui · #12 03-01-2003, 22:45

Non, il veut pas dire ça phpbb est gratuit pas comme Windows qui est volontairement buggé pour que l'on achète toujours la dernière version, celle dite la plus stable

!!!

Pour les forum, il existe des alternatives à phpBB: en gratuit il y a Invision et si vous avez les moyen: Vbulletin, comme dans NDFR² mais celui là n'est pas gratuit :confused: !!! A noté, que le site Français de VBuletin est pour le moment down

enzo19 · #13 04-01-2003, 08:01

nan, le site a changé d'adresse en fait et n'est qu'un leure : il n'avait rien d'officiel

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

Similar Threads
Thread	Thread Starter	Forum	Replies	Last Post
Systeme de news avec le phpbb	Jackydown	Programmation Web (HTML, PHP, ASP, Java, XML, etc.)	42	22-06-2006 20:09
Nouvelles versions de phpBB, PHP-Nuke & PHP	nonoleptitmalin	Actualité	5	16-04-2004 12:48
Mise a jour de phpBB	nonoleptitmalin	Discussions	7	20-02-2003 08:16
phpBB	llaumgui	Programmation Web (HTML, PHP, ASP, Java, XML, etc.)	13	18-12-2002 11:30
Un concurant à phpbb???!!!	llaumgui	Programmation Web (HTML, PHP, ASP, Java, XML, etc.)	12	28-11-2002 20:13

Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)