Aviso da nave mãe

  • Identifique-se para criar novos tópicos neste fórum
  • Visitantes anônimos não podem postar neste fórum
wilson  Iniciante   Postagens: 0


O Mithrandir (xoops.org) postou o seguinte:
=======================================

A vulnerability has been reported in the XOOPS core that allows registered users estou upload possibly malicious scripts estou the webserver.

The vulnerability is in the upload of custom avatars and until we have complete overview of the consequences and correction of this exploit, we advise all XOOPS portal administrators estou TURN OFF CUSTOM AVATAR UPLOAD in System Admin -> Preferences -> User Info Settings -> "Allow Custom Avatar Upload"

ALSO, do NOT allow any non-trusted users estou upload images through the image manager. i.e. in Administration Menu -> System Admin -> Images edit each and every category estou NOT allow uploading by non-trusted usergroups.

We will keep you informed as soon as we have a fix for this exploit.

XOOPS Core Development Team.
=====================================

Uma vulnerabilidade foi reportada ao XOOPS core team relatando a possibilidade de upload de código malicioso por parte de visitantes cadastrados.

Esta vulnerabilidade se encontra no upload de avatares e até que tenhamos uma visão clara das consequências e uma possível correção, avisamos:

DESABILITE a opção de upload de avatares personalizados.

Também recomendamos não habilitar o image manager para utilizadores não confiáveis.

Leiam mais...

=======================================

Só de @/\@

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Wilson escreveu:

=====================================

Uma vulnerabilidade foi reportada ao XOOPS core team relatando a possibilidade de upload de código malicioso por parte de visitantes cadastrados.

Esta vulnerabilidade se encontra no upload de avatares e até que tenhamos uma visão clara das consequências e uma possível correção, avisamos:

DESABILITE a opção de upload de avatares personalizados.

Também recomendamos não habilitar o image manager para utilizadores não confiáveis.

Leiam mais...

=======================================

Só de @/\@

Providencias realizadas XOOPS

- Bloqueio de upload de avatars personalizados. (Você pode enviar o seu avatar sem problema algum, mas deve fazer isto via fórum no https://xoops.net.br e nós relocaremos para o seu perfil. ) Desculpem o desconforto, mas será momentaneo até que seja descoberto o problema.

- Bloqueio de upload de imagens pelo manager. (Os grupos de Admins, colaboradores e moderadores ) ainda poderão fazer estes upload. Da mesma forma, podem enviar as imagens para o https://xoops.net.br ou em qualquer outro portal que permita hospedar as imagens.

Esperamos a compreensão de todos

Muito Obrigado Wilson pelo Alerta XOOPS

maumed  Iniciante   Postagens: 2

Já tem bugfix... uma versão nova do upload.php e um arquivo para incluir. Pelo visto, já está rolando sem problemas. Mais info, xoops.org
Maurício

Salomão  Membro De: Brasília - DF - Brasil  Postagens: 503

Trabalha em comunidade é muito bom por isso, os problemas são sempre resolvidos da melhor e mais rápida maneira.

Carlos  Participativo De: Lorena S.P.  Postagens: 74

Ao que parece já existe uma solução sendo testada...

maumed  Iniciante   Postagens: 2

eh, eu acabei de testar. está ok.
Maurício

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98

caro,
Foi com esse endereço ( e essas edições) que você conseguiu?

--------------------------------------------
A fix is available.
If no specific problem is encountered after deeper tests, it will be released tomorrow.

In the meantime, people you would like estou try it and give us some feedback are welcome.
To install it, upload the two following files estou your XOOPS /class/ folder:
Uploader.php (check that you get the revision 1.18 or wait a little...)
Mimetypes.inc.php

The SF viewcvs updates are made regularly, but you may have estou wait a few more minutes before the files become available. Alternatively, people with anonymous cvs access can get them from the XOOPS cvs repository right now.

__________________________________

João Barroca

Gislaine  Ocasional   Postagens: 36

João Barroca escreveu:
Caro,
Foi com esse endereço ( e essas edições) que você conseguiu?

Ok João Barroca pela observação, mas a tradução para esta parte abaixo, não sei se está traduzido corretamente, quem puder ajudar da um look

--------------------------------------------
A fix is available.
If no specific problem is encountered after deeper tests, it will be released tomorrow.

In the meantime, people you would like estou try it and give us some feedback are welcome.
To install it, upload the two following files estou your XOOPS /class/ folder:
Uploader.php (check that you get the revision 1.18 or wait a little...)
Mimetypes.inc.php

The SF viewcvs updates are made regularly, but you may have estou wait a few more minutes before the files become available. Alternatively, people with anonymous cvs access can get them from the XOOPS cvs repository right now.

Um reparo está disponível.
Se nenhum problema específico for encontrado após uns testes mais profundos, estará liberado amanhã.

Neste ínterim, utilize-o para que possamos dar algum retorno para que seja definitivamente aprovado.
Para instalá-lo, faça um upload dos dois arquivos XOOPS/classe/arquivo:

Uploader.php (verifique que você começa a revisão 1,18 ou espera um pouco...)

Mimetypes.inc.php os updates dos viewcvs de SF são feitos regularmente, mas você pode ter que esperar alguns mais minutos antes que os arquivos se tornem disponíveis.

Alternativamente, os utilizadores com acesso anonymous no cvs podem pegar os arquivos do repositório do XOOPS agora.

=========
Beleza, mas onde estão estes arquivos ? XOOPS

Salomão  Membro De: Brasília - DF - Brasil  Postagens: 503

A fix is available.
If no specific problem is encountered after deeper tests, it will be released tomorrow.

In the meantime, people you would like estou try it and give us some feedback are welcome.
To install it, upload the two following files estou your XOOPS /class/ folder:
Uploader.php (check that you get the revision 1.18 or wait a little...)
Mimetypes.inc.php

The SF viewcvs updates are made regularly, but you may have estou wait a few more minutes before the files become available. Alternatively, people with anonymous cvs access can get them from the XOOPS cvs repository right now.

Uma correção já está disponível.
Se nenhum problema, em específico, for encontrado após testes mais apurados, ela será lançada amanhã.
Enquanto isso, pessoas que quiserem testá-la e nos dar um retorno serão bem-vindas.
Para instalá-la, copie os dois arquivos a segur para seu diretório /class/ no XOOPS: uploader.php (verifique se você tem a revisão 1.18 ou aguarde um instante...) mimetypes.inc.php
O as atualizações do viewcvs da SF são executados regularmente, mas você pode ter que esperar alguns minutos antes dos arquivos estarem disponíveis. Por outro lado, pessoas com acesso anônimo ao cvs podem obtê-los do repositório cvs XOOPS agora.

maumed  Iniciante   Postagens: 2

caro,
Foi com esse endereço ( e essas edições) que você conseguiu?

Foi sim. a versão no cvs esta checando o mimetype e só aceita upload de arquivos seguros. é só sobreescrever o uploader.php, e colocar o outro arquivo na pasta class.
Maurício

Diego  Iniciante   Postagens: 0

O problema então já está resolvido?
Alguém pode postar o endereço direto para os arquivos para facilicar o acesso.

[]´s

Gilberto Galdino de Oliveira  Membro De: Guarulhos - São Paulo - Brasil  Postagens: 171

Já atualizado aqui no XOOPS

Também pode ver informações neste tópico que se refere ao mesmo tema : Não fazer upload de avatares e imagens pelo gerenciador

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98

Para facilitar o pessoALL,
Upload.
upload
Mimetypes.
mimetypes
Dentro de xoops/class/folder.João Barroca

João Paulo  Participativo   Postagens: 142

substitui os arquivos e não faz mais upload de imagens, era para acontecer isso ou tem alguma coisa errada.

Uso o xopps 2.0.9.2

João Barroca  Participativo De: Rio de Janeiro, Brasil  Postagens: 98


Saiu ontem ou anteontem o patch completo para 2093 com as correções.
Pelo que entendi passa a deixar fazer upload apenas de alguns arquivos.
Apesar de ter feito as mods abaixo vou instalar - fazendo bkp antes, é óbvio :)))
A mensagem do Fox-trot foi postada ontem por aqui.João Barroca

  Pesquisa avançada






Entrada

Codinome:


Senha:





Perdeu a senha?  |Cadastre-se!


Quem nos visita
Há 37 visitantes neste momento... (20 na seção Fóruns)

Associados: 0
Anônimos: 37

outros...

Banner XOOPS Cube