Fork me on GitHub
Fork me on GitHub
Donar Ahora!
Seleccione una cantidad para donar


¿Quiere que su nombre de usuario sea revelado con su donación?
Si - Listeme como un geneoso donante
No - Liste mi donación como un donante anónimo


Usuario
Bienvenido
Haz click para registrarte. Es gratuito y podrás utilizar todos los recursos de la web

Login

Recuerdame

¿Perdió su contraseña?


Online
Conectados: 35
Miembros: 0
Invitados: 18
Buscadores: 17

Estadísticas
Nuevos miembros: [BillyStilw-25/10/2017] [Teacher194-24/10/2017] [TimmyAngel-18/10/2017] [Leblanc-18/10/2017] [HealthyNut-17/10/2017] [HalliePerk-12/10/2017] [ShadBlais-8/10/2017] [WilburCruc-1/10/2017] [Ulanowski7-25/9/2017] [KaleyKlem-23/9/2017]
Registrados: 30176
Hoy: 0
Ayer: 0

Conectados:
usInvitadoForos
usInvitadoForos
usInvitadoForos
usInvitadoForos
usInvitadoForos
usInvitadoForos
usInvitadoDescargas Módulos (actual)
usInvitadoForos
usInvitadoForos
usInvitadoPerfiles extendidos
usInvitadoForos
usInvitadoNoticias
usInvitadoForos
usInvitadoForos
onlineInvitado
usInvitadoForos
usInvitadoDescargas Módulos (actual)
usInvitadoForos
Seguridad : Boletín de Seguridad: Apagar los avatares pers.....
Enviado por w4z004 el 12/3/2005 11:37:03 (5919 Lecturas)

Una vulnerabilidad ha sido reportada en el core de Xoops que permite a los usuarios registrados la posibilidad de subir scripts maliciosos al servidor web.

La vulnerabilidad esta en la subida de avatares personalizados y hasta tener una completa correccion de este exploit, les pedimos a todos los administradores de sitios XOOPS que APAGUEN la opcion de SUBIR AVATARES PERSONALIZADOS en

ADMIN > System Admin -> Preferencias -> Configuración del Usuario -> "¿Permitir subir avatares?" cambiarlo a NO.

Tambien NO permitir a ningun usuario no seguro subir imagenes a travez del manejador de imagenes .

Por ejemplo en el menu de administracion -> System Admin -> imagenes > editar cada categoria para no permitir upload de grupos de usuarios no seguros .

We will keep you informed as soon as we have a fix for this exploit.

XOOPS Core Development Team

ACTUALIZACION
Un fix estara disponible proximamente :)




Otras noticias
10/6/2016 4:21:05 - XOOPS 2.5.8 Final Español
14/10/2014 16:50:00 - Tutorial 1: Adaptando Plantillas HTML y CSS a XOOPS
23/6/2014 5:30:00 - Lanzamiento de XOOPS 2.5.7 Final
8/7/2013 3:40:00 - Diseño Web Adaptativo (Responsive Web Design)
21/6/2013 7:16:21 - Cambio de servidor

Los usuarios son responsables de sus propios comentarios.

Autor Hilo
drakko
Enviado: 23/3/2005 20:32  Actualizado: 23/3/2005 20:32
Equipo de esXOOPS
Conectado: 19/11/2002
Desde:
Envíos: 248
 Xoops 2.0.9.3 Patch Released
Xoops 2.0.9.3 Patch Released

contiene 3 archivos

/class/uploader.php - el mas reciente XoopsMediaUploader class, remplazando al actual

/class/mimetypes.inc.php - archivo nuevo que incluye mimetypes y sus extensiones

/include/version.php - informacion de la version 2.0.9.3


Bajarlo de (xoops.org)

Parch Xoops 2.0.9.2 to 2.0.9.3 (zip)

Parche Xoops 2.0.9.2 to 2.0.9.3 (tar.gz)

como siempre, recordar bajar las parches con actualizaciones para tener el xoops al 100 y agradecer siempre la inmediata salida de soluciones

Respuestas Autor Enviado
 Re: Xoops 2.0.9.3 Patch Released julionc 25/3/2005 5:09

Autor Hilo
bezoops
Enviado: 18/3/2005 10:59  Actualizado: 18/3/2005 10:59
Administrador
Conectado: 16/12/2004
Desde: Islas Canarias-España
Envíos: 198
 Re: Boletín de Seguridad: Apagar los avatares pers.....
Ya hay actualización, de un fichero existente y otro nuevo en Xoops.org. Pero por lo que leo en los comentarios, hay gente que pregunta si afecta a otros módulos que permiten la carga/upload de imágenes, como los de fotos.
---------------------------------
UPDATE:
A fix is available.
If no specific problem is encountered after deeper tests, it will be released tomorrow.
In the meantime, people you would like to try it and give us some feedback are welcome.

To install it, upload the two following files to your XOOPS /class/ folder:
uploader.php (check that you get the revision 1.18 or wait a little...)
mimetypes.inc.php

The SF viewcvs updates are made regularly, but you may have to wait a few more minutes before the files become available. Alternatively, people with anonymous cvs access can get them from the XOOPS cvs repository right now.
skalpa. (with the appreciated help of php_pp :)

Respuestas Autor Enviado
 Re: Boletín de Seguridad: Apagar los avatares pers..... julionc 19/3/2005 2:29

Autor Hilo
julionc
Enviado: 13/3/2005 4:47  Actualizado: 13/3/2005 4:47
Administrador
Conectado: 5/8/2004
Desde:
Envíos: 918
 Re: Boletín de Seguridad: Apagar los avatares pers.....
bug tracker item
El problema viene de uploading, y en realidad está el fix, Mithrandir publico el boletin, y el fix puede bajarse desde el CVS de Xoops.

Se tendría que reemplazar 2 archivos en XOOPS /class/
uploader.php
mimetypes.inc.php

NOTA
Acotación:

A fix is available.
If no specific problem is encountered after deeper
tests, it will be released tomorrow.

APAGUEN la opcion de SUBIR AVATARES PERSONALIZADOS! y todo tipo de "uploading".

Hasta mañana!
ya baje los fixes

Respuestas Autor Enviado
 Re: Boletín de Seguridad: Apagar los avatares pers..... Alex34 15/3/2005 0:42