Skip to main content Help Control Panel

Failles de sécurité liées à l'application VHCS «  

VHCS Sécurité - Bulletin d'information

Posted by M. declercq on Nov. 2 2006, page edited by M. declercq on Mar. 22, (popular)  
Tags: vhcs sécurité patch faille

Ce bulletin d'information répertorie toutes les failles de sécurité de l'application VHCS 2 qui ont été identifiées. Il peut donc faire l'objet de mises à jour.

Bulletin d'information :

Plusieurs vulnérabilités ont été identifiées dans VHCS, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité et accéder à une application vulnérable.

1. Le premier problème résulte d'une erreur présente au niveau de la page d'identification (login.php) qui ne filtre pas correctement le champ "username", ce qui peut être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

2. La seconde faille est due à une erreur présente au niveau du script "admin/change_password.php" qui ne vérifie pas le mot de passe actuel avant d'autoriser sa modification, ce qui pourrait être exploité par des attaquants afin de modifier certains mots de passe et accéder à l'application.

3. La troisième vulnérabilité se situe au niveau de la fonction "check_login()" [gui/include/login.php] qui ne vérifie pas correctement les sessions, ce qui pourrait être exploité par des attaquants afin de contourner les mesures de sécurité et ajouter un administrateur via le script "admin/add_user.php".

4. La dernière faille se situe au niveau du script "gui/admin/add_user.php" qui ne vérifie pas correctement les privilèges des utilisateurs, ce qui pourrait être exploité par des utilisateurs malveillants afin d'ajouter des nouveaux administrateurs.

Les failles de sécurité évoquées ci-dessus peuvent être facilement corriger en appliquant un patch qui a été mis en ligne par l'équipe de VHCS 2.

Ps : Le patch de sécurité du 9 février 2006 corrige les failles 1, 3 et 4. En ce qui concerne la deuxième faille de sécurité, elle ne peut plus être exploitée dans la mesure ou la faille 1 a été corrigée.

Vous pouvez suivre cette procédure http://nuxwin.com/articles/view.php/49 pour appliquer le patch de sécurité du 9 février 2006.

Une erreur, une incompréhension concernant ce document ? N'hésitez pas à utiliser la fonction commentaire de notre portail et/ou à nous joindre directement en utilisant notre formulaire contact : Nous contacter



Rédigé par M. Laurent DECLERCQ
v1.1 build 20061102.1354
Source : frsirt.com

Add a comment ·  Trackback

Yacs skin by Laurent DECLERCQ - 2006-2008 - All right reserved