Sécurité
Mise à jour MyBB 1.2.11
Publié le 19-01-2008 dans le thème Réseau - Sécurité
Pays : International - Auteur : Eric Romang
Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux
Compromission de système vulnérable et attaque du type injection SQL par le biais de MyBB (MyBulletinBoard) 1.x.
Janek Vind a rapporté plusieurs vulnérabilités, classifiées comme "hautement critiques", pour MyBB (MyBulletinBoard) 1.x, qui pourraient être exploitées par un internaute malveillant pour effectuer des attaques du type injection SQL, et compromettre un système vulnérable.
Les entrées envoyées au paramètre "sortby" des scripts "forumdisplay.php" et "search.php" (lorsque "action" est configuré à "results") ne sont pas correctement traitées avant d'être utilisées dans les appels "eval()". Ces erreurs pourraient être exploitées pour injecter et exécuter du code PHP arbitraire par le biais de valeur de paramètre forgé.
L'exploitation requiert la connaissance de la valeur "fid" pour le script "forumdisplay.php" et "sid" pour le script "search.php".
Les entrées envoyées aux paramètres "mergepost" (lorsque "action" est configuré à "do_mergeposts"), "rid" (lorsque "action" est configuré à "allreports"), et "threads" (lorsque "action" est configuré à "do_multimovethreads") du script "moderation.php" ne sont pas traitées correctement avant d'être utilisées dans des requêtes SQL. Ces erreurs peuvent être exploitées pour injecter du code SQL arbitraire.
L'exploitation requiert des identifiants administrateurs valides.
Les entrées envoyées aux paramètres "request" et "gid" du script "admin/usergroups.php" (lorsque "action" est configuré à "do_joinrequests") ne sont pas traitées correctement avant d'être utilisées dans des requêtes SQL. Ces erreurs peuvent être exploitées pour injecter du code SQL arbitraire.
L'exploitation requiert des identifiants administrateurs valides.
Les vulnérabilités ont été rapportées pour la version 1.2.10 et toutes les versions 1.2.x. D'autres versions peuvent être affectées.
Le fournisseur propose la mise à jour 1.2.11 pour combler ces vulnérabilités.
# Liens connexes
Alerte de sécurité Secunia (en anglais)
Derniers contenus
Mise au point après l'éviction de 3 Français lors du Black Hat de Las vegas
Mauro Israel, l'un des trois français exclu du Black Hat de Las Vegas revient sur cette mise à la porte. Une accusation de piratage injustifiée.
France-pittoresque.net prend l'eau
Le principal point de rencontre Français sur Second Life ne protège pas ses membres. Logins, mels et mots de passe sur le web.
Des données bancaires sur eBay... même pas chères !
Vendre son ordinateur sur eBay, bonne idée. Bilan, pour quelques euros, des millions de dollars en cadeau !
Un mouchard dans les billets de banque
Le porte-parole du comité contre le passeport biométrique tente de démontrer qu'un mouchard est caché dans les billets de banque.
Alice ? Youuuhouuu, voilà Free dans tes jupons !
Le Fournisser d'Accès à Internet Free rachète son concurrent Alice pour 775 millions d'euros.
Votre bébé vient d'être hacké
Des pirates informatiques tentent de piéger des ordinateurs en annonçant aux propriétaires que leur bébé a été... hacké !
Couche de sécurité pour votre navigateur
Des chercheurs de l'université informatique Carnegie Mellon propose un plug-in gratuit pour sécuriser vos connexions à l'Internet.
Les faux sites d'antivirus pullulent
Avec la rentrée, un nouvel ordinateur peut se profiler à l'horizon. Prudence, de faux antivirus apparaissent pour mieux vous piéger.
Sur le même thème : Réseau - Sécurité
Mise au point après l'éviction de 3 Français lors du Black Hat de Las vegas
Mauro Israel, l'un des trois français exclu du Black Hat de Las Vegas revient sur cette mise à la porte. Une accusation de piratage injustifiée.
France-pittoresque.net prend l'eau
Le principal point de rencontre Français sur Second Life ne protège pas ses membres. Logins, mels et mots de passe sur le web.
Couche de sécurité pour votre navigateur
Des chercheurs de l'université informatique Carnegie Mellon propose un plug-in gratuit pour sécuriser vos connexions à l'Internet.
Piratage des serveurs de mise à jour de Red Hat
Red Hat vient d'annoncer la visite musclé d'un pirate dans ses serveurs de mise à jour de Red Hat Desktop et Red Hat Enterprise Linux.
Adeona project
Vous avez perdu votre ordinateur portable ? Votre machine vient d'être dérobée ? Le projet Adeona vient à votre secours.
Offre d'emploi à la DCSSI
La Direction centrale de la sécurité des systèmes d’information française recrute trois spécialistes en sécurité informatique.
Le site Voila piraté ?
Exclu : Le site Internet Voila, filiale de France Télécom, considéré comme dangereux par la sécurité du navigateur Firefox.
Lesarnaques.com nouvelle version
Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
Rechercher dans les Alertes
- La Gameboy humanoïde
- Secret story - alice/Matthias rien ne va plus...
- Comment Profiter de Google Suggest pour le SE...
- Le generique des Simpson avec de vrais acteur...
- e blog officiel de Windows 7 en francais
- Nouveautes annoncees dans Hotmail
- 2 Widgets pour flux RSS
- Ecrivez vos partitions de guitare
- WOW en cosplay et en tapis de course
- Un ventilateur USB en forme de bateau
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Toshiba dévoile des équipements de jeux hautes performances
Une nouvelle souris ultra-rapide et une version quadricœur Intel® Core™2 Extrême du portable Qosmio X300 seront présentées sur le stand de Toshiba à Leipzig.
Lancement de la gamme BitDefender 2009
BitDefender, annonce aujourd’hui la disponibilité des versions 2009 de ses solutions de protection pour les particuliers et les petites entreprises.
Lancement du Samsung Player Addict sur Windows Mobile 6.1
Jeudi prochain, MICROSOFT WINDOWS MOBILE, SAMSUNG et SFR vont lancer le Samsung Player Addict sur Windows Mobile 6.1. Un sérieux concurrent à l'iPhone.
Autodesk fête le 10e anniversaire du logiciel Maya
La nouvelle version offre des capacités de production stéréoscopique, la simulation nParticles, ainsi que des puissants outils d’animation et de productivité.
Stars-buzz.com
Malaise cardiaque pour Jean Reno
Le journal Voici révèle que le comédien Jean Reno a été évacué de Saint-Barthélémy. Il était en vacances dans la maison de Johnny Halliday quand il a été pris d’un malaise cardiaque. Il se trouvait sur l?île avec son épouse, Zofia Borucka.
Laurence Boccolini va nous faire danser
C’est confirmée, Laurence Boccolini revient sur Tf1 et va même animer, durant 15 jours, début septembre, l’émission “Dancefloor : qui sera le plus fort ?”. Selon Le Parisien, ce divertissement arrive sur TF1 le lundi 8 septembre. De 18 heures à 19 heures, des participants vont devoir improviser des danses. Un “battle” entre deux concurrents [...]
Johnny Depp, Jude Law et Colin Farrell font une bonne action
Johnny Depp, Jude Law et Colin Farrell ont décidé de reverser le montant de leur cachet d’acteur, pour le film The Imaginarium of Dr Parnassus, à la fille d’Heath Ledger, Mathilda. Heath Ledger est décédé en janvier dernier à la suite d’une surdose de médicaments. Il incarne en ce moment le rôle (excellent) du Joker [...]
Harry Potter va montrer sa petite baguette magique
Tournicoti, tournicota, revoilà, Harry Potter. Le 6ème épisode est retardé de 9 mois, rien que ça. Attendu en novembre prochain, Harry Potter et le prince de sang mêlé ne sortira pas en salle en novembre mais en juillet 2009. Warner Bros montre du doigt, pour justifier ce retard, la greve des scenaristes qui a touché [...]
