Faille Cross-site Scripting - Page 1

Bonjour à tous,

une faille de sécurité de type XSS a été trouvé dans l'exemple "form.php" de la version 4.02.

un patch va sortir très rapidement, mais en attendant, je vous conseille fortement, si vous ne l'avez pas déjà fait, de toujours supprimer le répertoire d'exemple avant toute mise en production de vos sites et applications...

cette faille de sécurité n'est présente que dans l'exemple, et absolument pas dans la librairie elle même.

vraiment désolé pour la gène occasionnée, en espérant que ceci ne vous empêchera pas d’utiliser HTML2PDF !

enfin, je tiens à pousser une gueulante contre la personne qui a trouvé la faille et qui apparemment travaille pour une boite de sécurité : John Leitch

Quand tu trouves une faille de sécurité, ça serait professionnel de contacter les personnes concernées avant de diffuser l'information... Car découvrir l'information par hasard via Google ne fait vraiment pas plaisir...

cordialement,

Laurent - développeur de HTML2PDF

---

Mise à jour : la faille a été corrigée dans la version v4.03

Si je suis bien tombé sur l'URL dont tu parles, pour sa défense, ça a l'air d'être un outil automatique qui a trouvé la faille. Le rapport a donc été généré automatiquement sans peut-être même qu'il en ait connaissance (après ça aurait quand même pu envoyer un mail à l'adresse de ton site, si tu en as mis une).

[edit] Pas d'adresse, si c'est bien un outil automatique il n'aurait de toutes façon pas pu te joindre. La gueulante ne me semble pas justifiée.

Si... l'adresse postmaster existe et marche, comme il se doit pour tout nom de domaine... De plus la faille n'est pas sur le site mais dans le zip => il faut forcement une installation manuelle => ce n'est donc pas un outil automatique qui l'a repéré...

Heu il suffit de dézipper le fichier et d'analyser le code, pas besoin d'installer grand chose. Le mec en question propose justement pas mal d'outils de test d'intrusion automatisés, ça m'étonnerait pas que la faille ait été trouvée comme ça.

je ne conteste pas le fait d'essayer de trouver des failles, je conteste le fait de les diffuser directement sans en avertir les personnes concernées... j'ai plusieurs dizaines de milliers de personnes qui utilisent HTML2PDF, et je suis sur que seulement très peu de personnes ont pensé à supprimer les exemples => ca met potentiellement en danger pas mal de monde, et c'est donc totalement irresponsable !

il n'a aucune excuse pour ne pas m'avoir contacter, même en automatique. mon mail apparaît dans le zip dans les fichiers readme.

ah ok, je savais pas pour le ZIP, là c'est vrai qu'il aurait pu te contacter.

(mais peut-être qu'une page "contact" sur ton site serait une bonne idée, non ?°

si je mettais une page contact, tout le monde essayerait de me contacter par cette page, au lieu d'aller sur le forum au départ j'en avais mis une, et c'était un désastre