Fix de sécurité important sur minigal - Les liens de Tom
jeudi 26 juin 2014 à 18:01 Sebsauvage, le 26/06/2014 à 13:21
Ou là... je fais passer: Faille "directory traversal" à corriger dans MiniGal Nano: Mettez à jour !
EDIT: Pour corriger manuellement, c'est rapide: C'est vers la ligne 155 d'index.php:
//$thumbdir = str_replace('/..', '', $thumbdir); // Prevent directory traversal attacks.
if(strstr($thumbdir, '..') !== FALSE) {
$requestedDir = '';
$thumbdir = rtrim('photos/','/');
}
(Permalink)
Tom, le 26/06/2014 à 15:19
Message pour tous les utilisateurs de minigal : mettez à jour vos installations *le plus rapidement possible*, on vient de corriger un bug vraiment moche : avec la bonne suite de caractères dans l'url, il était possible d'afficher le contenu de n'importe quel dossierdu système.
Bref, faites passer le message. Et n'hésitez pas à remonter des infos si vous avez des bugs évidement :)
https://github.com/sebsauvage/MinigalNano
(Permalink)
r129i, le 26/06/2014 à 16:18
OK, je vais faire à la mano ça ira plus vite.
Ps : @seb. Je ne sais toujours pas s'il est possible de partager un album de façon sécurisée avec login-mot de passe...
(Permalink)
Amaury, le 26/06/2014 à 16:41
Je fais passer le message.
Aux utilisateur de Minigal Nano, mettez à jour ! Une faille de sécurité a été découverte et corrigée, permettant de visualiser le contenu de n'importe quel dossier.
(Zavez vu ? Je suis toujours vivant !)
(Permalink)
Cochise, le 26/06/2014 à 18:01
Done,
mais je le met ici aussi pour si jamais j'en aurais encore besoin :
Ou là... je fais passer: Faille "directory traversal" à corriger dans MiniGal Nano: Mettez à jour !
EDIT: Pour corriger manuellement, c'est rapide: C'est vers la ligne 155 d'index.php:
//$thumbdir = str_replace('/..', '', $thumbdir); // Prevent directory traversal attacks.
if(strstr($thumbdir, '..') !== FALSE) {
$requestedDir = '';
$thumbdir = rtrim('photos/','/');
}
(Permalink)
Ou là... je fais passer: Faille "directory traversal" à corriger dans MiniGal Nano: Mettez à jour !
EDIT: Pour corriger manuellement, c'est rapide: C'est vers la ligne 155 d'index.php:
//$thumbdir = str_replace('/..', '', $thumbdir); // Prevent directory traversal attacks.
if(strstr($thumbdir, '..') !== FALSE) {
$requestedDir = '';
$thumbdir = rtrim('photos/','/');
}
(Permalink)
Tom, le 26/06/2014 à 15:19
Message pour tous les utilisateurs de minigal : mettez à jour vos installations *le plus rapidement possible*, on vient de corriger un bug vraiment moche : avec la bonne suite de caractères dans l'url, il était possible d'afficher le contenu de n'importe quel dossierdu système.
Bref, faites passer le message. Et n'hésitez pas à remonter des infos si vous avez des bugs évidement :)
https://github.com/sebsauvage/MinigalNano
(Permalink)
r129i, le 26/06/2014 à 16:18
OK, je vais faire à la mano ça ira plus vite.
Ps : @seb. Je ne sais toujours pas s'il est possible de partager un album de façon sécurisée avec login-mot de passe...
(Permalink)
Amaury, le 26/06/2014 à 16:41
Je fais passer le message.
Aux utilisateur de Minigal Nano, mettez à jour ! Une faille de sécurité a été découverte et corrigée, permettant de visualiser le contenu de n'importe quel dossier.
(Zavez vu ? Je suis toujours vivant !)
(Permalink)
Cochise, le 26/06/2014 à 18:01
Done,
mais je le met ici aussi pour si jamais j'en aurais encore besoin :
Ou là... je fais passer: Faille "directory traversal" à corriger dans MiniGal Nano: Mettez à jour !
EDIT: Pour corriger manuellement, c'est rapide: C'est vers la ligne 155 d'index.php:
//$thumbdir = str_replace('/..', '', $thumbdir); // Prevent directory traversal attacks.
if(strstr($thumbdir, '..') !== FALSE) {
$requestedDir = '';
$thumbdir = rtrim('photos/','/');
}
(Permalink)