Bonjour,

Il existe aujourd'hui une faille de sécurité dans Mantis qui permet à un utilisateur de connaître le mot de passe de la base de données dans certaines conditions : #8089.

Pour corriger ce problème voici une solution :

* Créez un répertoire config (le mieux est de le mettre hors du document_root du serveur web).
* Créez un fichier .htaccess dans ce répertoire et mettez-y

Language: Apache Log
 

* Déplacez votre fichier de configuration config_inc.php dans ce nouveau répertoire.
* Créez un fichier config_inc.php dans le répertoire racine de Mantis (là où était l'ancien) et mettez-y ceci (dans le cas où le répertoire config est aussi à la racine de l'installation Mantis) :

Language: PHP
(( ) . DIRECTORY_SEPARATOR . &<a href="http://bugtracker.morinie.fr/mantis/view.php?id=039" target="_blank">#039</a>;config&<a href="http://bugtracker.morinie.fr/mantis/view.php?id=039" target="_blank">#039</a>; . DIRECTORY_SEPARATOR . &<a href="http://bugtracker.morinie.fr/mantis/view.php?id=039" target="_blank">#039</a>;config_inc.php&<a href="http://bugtracker.morinie.fr/mantis/view.php?id=039" target="_blank">#039</a>; );
 

Vincent

---

Mantis: 1.1.0, 1.1.5, 1.1.1
PHP: 5.0.4
SQL: MySQL 5.0.19
OS: Linux

Please complete your signature with your environment informations.
Enable skype notification here