Nous avons été avertis dans l'après midi du 9 juillet 2009 de l'existence d'une faille de sécurité qu'on peut qualifier de critique puisqu'elle permet dans certaines configuration de s'identifier en tant qu'administrateur sur un site PHPBoost 2.0.
Nous avons bien entendu immédiatement pris en charge la correction de cette faille et vous proposons dès maintenant le correctif. Il est très fortement conseillé de corriger la faille sur votre site, ça ne vous prendra que quelques minutes et cela pourrait vous éviter de voir votre travail anéanti par quelques esprits malfaiteurs.
L'exploitation de cette faille n'est cependant pas triviale et pas à la portée du premier venu. Pour limiter au maximum le risque qu'une personne malintentionnée découvre comment l'exploiter, le patch que nous proposons a été volontairement travaillé pour ne pas qu'on puisse trouver avec un outil à quel endroit les corrections ont été faites et donc découvrir comment exploiter la faille. C'est la raison pour laquelle nous fournissons l'intégralité du dossier includes, tous les fichiers ne sont pas concernés par la correction mais nous ne dirons pas lesquels. Nous ne communiquerons donc pas davantage sur le côté technique de cette faille dans l'objectif de protéger tous les sites en version 2.0.
Veuillez donc nous excuser pour la gêne occasionnée. Nous vous encourageons très fortement à appliquer le correctif sur vos sites.
Vous pourrez télécharger le patch et savoir comment l'appliquer sur cette page.
Le pack d'installation de PHPBoost 2.0 a évidemment été corrigé, donc cette faille n'est plus présente sur les nouvelles installations à partir d'aujourd'hui. Il est également important de préciser que la version 3.0 de PHPBoost qui n'est actuellement qu'en version RC n'est pas vulnérable à cette faille.
Nous avons bien entendu immédiatement pris en charge la correction de cette faille et vous proposons dès maintenant le correctif. Il est très fortement conseillé de corriger la faille sur votre site, ça ne vous prendra que quelques minutes et cela pourrait vous éviter de voir votre travail anéanti par quelques esprits malfaiteurs.
L'exploitation de cette faille n'est cependant pas triviale et pas à la portée du premier venu. Pour limiter au maximum le risque qu'une personne malintentionnée découvre comment l'exploiter, le patch que nous proposons a été volontairement travaillé pour ne pas qu'on puisse trouver avec un outil à quel endroit les corrections ont été faites et donc découvrir comment exploiter la faille. C'est la raison pour laquelle nous fournissons l'intégralité du dossier includes, tous les fichiers ne sont pas concernés par la correction mais nous ne dirons pas lesquels. Nous ne communiquerons donc pas davantage sur le côté technique de cette faille dans l'objectif de protéger tous les sites en version 2.0.
Veuillez donc nous excuser pour la gêne occasionnée. Nous vous encourageons très fortement à appliquer le correctif sur vos sites.
Vous pourrez télécharger le patch et savoir comment l'appliquer sur cette page.
Le pack d'installation de PHPBoost 2.0 a évidemment été corrigé, donc cette faille n'est plus présente sur les nouvelles installations à partir d'aujourd'hui. Il est également important de préciser que la version 3.0 de PHPBoost qui n'est actuellement qu'en version RC n'est pas vulnérable à cette faille.