Attention Vulnerability

Vos idées et demandes pour la prochaine mise à jour du script sont les bienvenues ici - Your ideas and suggestions for the next update.

Modérateurs : boulmontjj, Pierre G., Malabar, Otomatic

bewusst
Messages : 5
Inscription : Mer 11 Août 2010, 15:31

Attention Vulnerability

Messagepar bewusst » Mer 11 Août 2010, 15:39

Hello Forum,
sorry for my bad English (I'm from Austria)
I found on the Internet this Vulnerability.
Maybe someone can say about this.
Perhaps there is a patch for it, my version is 5.0.2 Current.

Here the Link:
http://www.exploit-db.com/exploits/11085/

Thanks for helping
Greets
bewusst

boulmontjj
Modérateur
Modérateur
Messages : 1360
Inscription : Mer 30 Août 2006, 13:41
Localisation : Marchiennes
Contact :

Re: Attention Vulnerability

Messagepar boulmontjj » Mer 11 Août 2010, 21:15

Hi bewusst,

Thanks for this post telling us about what you have found on Internet.
I've not understand every thing about the vulnerability but according to what i undestand, it is about the setup.php file.
We ask in the implementation page every users that once the script is installed to supress setup.php file from the server so that nobody can access it.
If it is the matter of the vulnerability, it is not really one but just mistake from users that does not follow our recommandations.
I hope i have well understand about the vulnerabitily you noticed us.

Malabar
Admin
Admin
Messages : 4062
Inscription : Lun 07 Août 2006, 09:46
Localisation : Lorient
Contact :

Re: Attention Vulnerability

Messagepar Malabar » Mer 11 Août 2010, 21:26

Hello,

Yes there is a vulnerability (XSS) and we haven't published any patch. :/ :grr:
In fact, we (I) think this vulnerability is low: with it, a visitor must click on a hacked link to a guestbook. A "normal visitor" doesn't click on any link on any website. And up to now, none example of uses of this vulnerability to retrieve or to corrupt visitor datas has been published.

We will correct it on next version. I work on it....
Le mâle à barre (Maxime)

boulmontjj
Modérateur
Modérateur
Messages : 1360
Inscription : Mer 30 Août 2006, 13:41
Localisation : Marchiennes
Contact :

Re: Attention Vulnerability

Messagepar boulmontjj » Mer 11 Août 2010, 21:52

Maxime,

Désolé mais je n'ai donc rien compris au rapport de vulnérabilité. :rouge:
Heureusement que tu es là.

Malabar
Admin
Admin
Messages : 4062
Inscription : Lun 07 Août 2006, 09:46
Localisation : Lorient
Contact :

Re: Attention Vulnerability

Messagepar Malabar » Mer 11 Août 2010, 23:13

Le rapport de vulnérabilité date un peu. Quelqu'un nous l'avait remonté (autre site). En fait tu peux attaquer le livre sur 2 pages : setup.php d'une part et d'autre part la page index.php avec le paramètre seeMess qui est vulnérable. Ce paramètre n'est pas protégé (à tort) car au moment où Alex l'a codé, les failles XSS n'étaient pas à la mode. Surtout, on attend un 0 ou 1 comme valeur et il ne devait pas se douter qu'un code bien pensé peut modifier la page.

Par contre j'ai considéré que ce n'est pas prioritaire car comme je disais il faut qu'un pirate publie un lien, qu'un internaute se laisse berner et le pirate ne peut (à ma connaissance jusqu'à ce jour) rien en faire.

De mémoire, la page setup.php est plus vulnérable....tant que le script n'est pas installé. Le nombre de livres uploadés, publiés mais non installés est ridicule.

Il n'empêche, peut-être que je suis passé à côté du code qui permet une bonne utilisation de la faille, il faut donc la corriger. :)
Le mâle à barre (Maxime)

Otomatic
Modérateur
Modérateur
Messages : 650
Inscription : Ven 11 Août 2006, 09:33
Localisation : Paris
Contact :

Re: Attention Vulnerability

Messagepar Otomatic » Jeu 12 Août 2010, 10:33

Bonjour,

Interdire les url dans les messages est un bon palliatif. :)
Néanmoins, amha, il faut toujours vérifier les contenus des paramètres passés en GET ou POST.
Ce n'est pas par ce que l'erreur se propage qu'elle devient vérité. Gandhi

fanievama
Messages : 12
Inscription : Mar 10 Août 2010, 08:50

Re: Attention Vulnerability

Messagepar fanievama » Jeu 12 Août 2010, 12:00

Bonjour,

J'ai regardé le lien mentionné dans le premier message et cela correspond bien au dossier db transmis à Malabar par mail.
@+

Otomatic
Modérateur
Modérateur
Messages : 650
Inscription : Ven 11 Août 2006, 09:33
Localisation : Paris
Contact :

Re: Attention Vulnerability

Messagepar Otomatic » Jeu 12 Août 2010, 16:07

Bonjour,

À mon précédent message, j'ajouterais que remplacer $_GET['seeMess'] par intval($_GET['seeMess']) élimine le problème.
Ce n'est pas par ce que l'erreur se propage qu'elle devient vérité. Gandhi

bewusst
Messages : 5
Inscription : Mer 11 Août 2010, 15:31

Re: Attention Vulnerability

Messagepar bewusst » Jeu 12 Août 2010, 20:23

Bonjour :hello:

sorry, I do no understand French.
If it please a patch, please ask me for info.

The guestbook is great, only the security issue
makes me a little nervous.

It is a great forum.
Like so many answers!

Merci
Au revoir

bewusst

Otomatic
Modérateur
Modérateur
Messages : 650
Inscription : Ven 11 Août 2006, 09:33
Localisation : Paris
Contact :

Re: Attention Vulnerability

Messagepar Otomatic » Ven 13 Août 2010, 10:01

Hello,

I try to write with my little knowlegde of English.

The first thing to do is delete the setup.php file, which is also recommended that after installation.
In a second step to address this "vulnerability", you can go to the administration and validate to "yes" the option :
Would you like the messages containing URL to be refused ?

In a third step you can modify file :
- index.php by replacing :

Code : Tout sélectionner

if (isset($_GET['seeMess']) && $_GET['seeMess'] == 1)
with

Code : Tout sélectionner

if (isset($_GET['seeMess']) && intval($_GET['seeMess']) == 1)

- include\funct_utiles.php by replacing :

Code : Tout sélectionner

   $echo_html -> MxText($chemBloc."seeMess", @$_GET['seeMess']);
with:

Code : Tout sélectionner

   $echo_html -> MxText($chemBloc."seeMess", @intval($_GET['seeMess']));
Ce n'est pas par ce que l'erreur se propage qu'elle devient vérité. Gandhi

bewusst
Messages : 5
Inscription : Mer 11 Août 2010, 15:31

Re: Attention Vulnerability

Messagepar bewusst » Ven 13 Août 2010, 20:14

Bonjour,

Thank you for your quick reply!
The setup.php was deleted after installing.
The index.php
and
include \ funct_utiles.php
I have changed after your Scrip.

I will see again later in the forum whether there has been a change Patch.

Thank you ;-)

Au revoir,
bewusst


Revenir vers « Suggestions d'amélioration du script »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités