Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
AVIS DE SECURITE
TWiki - Upload de fichiers
 
Avis de sécurité ZHFR-1452
Date de publication: 11/07/2006
Vulnérabilité: Upload de fichiers
Impact: Accès au système
D'où: A distance
Risque: Elevé
Solution: Correctif
SE: Tous
Produit: TWiki

Détails:
Une vulnérabilité a été identifiée dans TWiki. Celle-ci pourrait être exploitée par une personne malintentionnées afin de compromettre un système vulnérable.

Le problème provient du fait qu'il est possible d'uploader des fichiers ayant plusieurs extensions. Cela peut par exemple être exploité pour exécuter du code PHP arbitraire en uploadant un script PHP malicieux dans le répertoire "pub".

Pour que l'exploitation soit possible apache doit posséder le module "mod_mime".

La vulnérabilité a été identifiée dans les publications suivantes :
* TWikiRelease04x00x03
* TWikiRelease04x00x02
* TWikiRelease04x00x01
* TWikiRelease04x00x00
* TWikiRelease04Sep2004
* TWikiRelease03Sep2004
* TWikiRelease02Sep2004
* TWikiRelease01Sep2004
* TWikiRelease01Feb2003
* TWikiRelease01Dec2001
* TWikiRelease01Dec2000

Solution:
Appliquer le correctif (cf. avis original).

Mettre à jour vers TWikiRelease04x00x04.
http://twiki.org/cgi-bin/view/Codev/TWikiRelease04x00x04

Références:
http://secunia.com/advisories/20992/
http://twiki.org/cgi-bin/view/Codev/SecurityAlertSecureFileUploads

Crédits:
Vulnérabilité découverte par Tom McAdam

  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.