Bonsoir,
Suite a un problème inhérent a notre volonté, nous nous voyons dans l'obligation de momentannément suspendre l'envoi d'avatar depuis votre machine ou un site web distant, ceci afin d'empecher les hackers d'utiliser le serveur dans des buts non-légaux.
Nous espèrons pouvoir corriger le problème rapidement afin que la gène soit la plus courte possible.
Merci pour votre compréhension
[Information] désactivation de l'envoi d'avatar
Modérateur : Modérateurs
-
- Membre hyperactif
- Messages : 700
- Enregistré le : 02 juin 2005, 23:00:00
- Localisation : Paris
- Contact :
Salut,
Si c'est à propos de cette faille, elle est quand même pas si grave, tout le monde peut faire des requêtes HTTP vers un site... Surtout que, s'ils la résolvent, ils vont forcément empêcher l'upload de certaines images (par exemple si mon image s'appelle monsite.com/generer_avatar.php?site=infoprat à mon avis elle risque d'être bloquée...)
@+
Si c'est à propos de cette faille, elle est quand même pas si grave, tout le monde peut faire des requêtes HTTP vers un site... Surtout que, s'ils la résolvent, ils vont forcément empêcher l'upload de certaines images (par exemple si mon image s'appelle monsite.com/generer_avatar.php?site=infoprat à mon avis elle risque d'être bloquée...)
@+
-
- Modérateur
- Messages : 159
- Enregistré le : 02 juin 2005, 23:00:00
- Localisation : Pau
- Contact :
Effectivement, tout le monde peut le faire de chez soipatheticcockroach a écrit :elle est quand même pas si grave, tout le monde peut faire des requêtes HTTP vers un site...
Seulement, si tu lances une attaque DoS de chez toi, c'est pour ta pomme, mais si c'est fait via le biais d'un serveur, c'est pour le propriétaire du serveur les ennuis.
Pour ceux qui ne savent pas, une attaque DoS (Denial Of Service) consiste a envoyer un nombre très important de requete a une machine.
Or a l'aide de ce cette faille, un hacker pourrait utiliser n'importe quel serveur sur lekel est héberger un phpBB pour lancer ces attaques DoS.
Et pour les avatars, l'upload via site ne sera pas bloqué, ce qui sera surement bloqué, c'est le moyen de faire d'autre requètes parallèles que celle éxécutée pour récupérer l'avatar distant
-
- Membre actif
- Messages : 281
- Enregistré le : 11 nov. 2005, 10:13:09
-
- Membre hyperactif
- Messages : 700
- Enregistré le : 02 juin 2005, 23:00:00
- Localisation : Paris
- Contact :
Salut,
au fait, le problème semble résolu dans phpBB 2.0.21 : http://secunia.com/advisories/20093/
@+
au fait, le problème semble résolu dans phpBB 2.0.21 : http://secunia.com/advisories/20093/
@+
Qui est en ligne
Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 0 invité