Annonce

[15 février 2017] Publication de Wanewsletter 3.0.1

#1 2005-10-24 03:49:37

Bobe
Administrateur
Lieu : La Rochelle
Inscription : 2002-05-27
Messages : 5 289

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

Une faille de sécurité a été découverte dans Wanewsletter 2.2.6. Cette faille touche également toutes les versions 2.2 antérieures.

La correction de cette faille est très simple. Éditez le fichier includes/class.attach.php et rendez-vous à la ligne 658 (le numéro de ligne peut varier légèrement pour les versions antérieures à la 2.2.6):

function check_extension($extension)
{
    global $db, $listdata;
    
    $sql = "SELECT COUNT(fe_id) AS test_extension 
        FROM " . FORBIDDEN_EXT_TABLE . " 
        WHERE fe_ext = '$extension' 
            AND liste_id = " . $listdata['liste_id'];
    if( !($result = $db->query($sql)) )
    {
        trigger_error('Impossible de tester la table des extensions interdites',  ERROR);
    }
    
    return ( $db->result($result, 0, 'test_extension') ) ? false : true;
}

Remplacez ce bloc par :

function check_extension($extension)
{
    global $db, $listdata;
    
    $sql = "SELECT COUNT(fe_id) AS test_extension 
        FROM " . FORBIDDEN_EXT_TABLE . " 
        WHERE fe_ext = '" . addslashes($extension) . "' 
            AND liste_id = " . $listdata['liste_id'];
    if( !($result = $db->query($sql)) )
    {
        trigger_error('Impossible de tester la table des extensions interdites',  ERROR);
    }
    
    return ( $db->result($result, 0, 'test_extension') ) ? false : true;
}

ou si vous ne voulez/pouvez pas mettre la main dans le code, désactivez la possibilité de joindre des fichiers joints aux newsletters.

La version 2.2.7 est déjà sur les rails depuis quelques temps en raison d'un bug majeur à corriger et comblera donc également cette faille.


PHP et MySQL, un duo gagnant !

Hors ligne

#2 2005-10-24 08:50:36

Perrine
Membre
Inscription : 2005-10-20
Messages : 13

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

Merci pour l'info smile

Hors ligne

#3 2005-10-24 10:15:10

mohamed
Membre
Inscription : 2005-01-04
Messages : 12
Site Web

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

Merci, le changement est effectuée et comme notre invité je dit aussi bravo.

Hors ligne

#4 2005-10-24 14:50:28

glop
Membre
Inscription : 2005-10-24
Messages : 2

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

ça m'inquiète beaucoup parce que je n'ai pas ce fichier dans "Include", ni ailleurs. Est-ce que c'est possible que ça fonctionne sans  :d

Hors ligne

#5 2005-10-24 16:14:20

Bobe
Administrateur
Lieu : La Rochelle
Inscription : 2002-05-27
Messages : 5 289

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

C'est vrai que Bobe a la mauvaise habitude de ne pas indiquer le chemin des fichiers dont il parle.

Ah ? Il me semblait au contraire que la plupart du temps, j'indique le chemin complet en partant de la racine du script  sad

ça m'inquiète beaucoup parce que je n'ai pas ce fichier dans "Include", ni ailleurs. Est-ce que c'est possible que ça fonctionne sans  :grin2:

C'est que vous utilisez probablement une version 2.1.x ou pire, une version 2.0.x. Le fichier includes/class.attach.php existe dans Wanewsletter depuis la première version de la branche 2.2 (2.2-Alpha).


PHP et MySQL, un duo gagnant !

Hors ligne

#6 2005-10-24 16:19:46

glop
Membre
Inscription : 2005-10-24
Messages : 2

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

Oui c'est ça. Mais la version que j'ai fonctionne très bien et j'ai peur de tout chambouler en faisant une mise à jour...

Merci pour l'info !  smile

Hors ligne

#7 2005-10-25 01:21:03

Bobe
Administrateur
Lieu : La Rochelle
Inscription : 2002-05-27
Messages : 5 289

Re : Wanewsletter <= 2.2.6 : Faille de sécurité

PS = au fait, vous l'avez modifié, le readme ??? Hein ? j'entends pas !

Bien entendu, quelle question  :ange:

Va discrètement corriger les readme du script…


PHP et MySQL, un duo gagnant !

Hors ligne

Pied de page des forums