Welcome, Guest
Username: Password: Remember me

TOPIC: Question sécurité

Question sécurité 1 year 4 months ago #95979

  • doromano
  • doromano's Avatar
  • OFFLINE
  • Fresh Lemon
  • Posts: 3
  • Karma: 0
Bonjour,

Sur la version 2.0 de limesurvey build 130311, il y a un fix pour un problème de sécurité sur l'upload de document dans la partie admin.

Pourriez-vous me dire si cette faille concerne également la version 1.92+ (Build 120919)

d'avance merci.
The administrator has disabled public write access.

Question sécurité 1 year 4 months ago #95984

  • DenisChenu
  • DenisChenu's Avatar
  • OFFLINE
  • Moderator Lime
  • Posts: 6334
  • Thank you received: 818
  • Karma: 243
Sur la dernière buil de la 1.92 (en fait celle après l'officielle), j'ai corrigé pas mal de faille de sécurite.

Il vaut donc déjà mieux prendre la dernière version:
github.com/LimeSurvey/LimeSurvey/tree/1.92

Avec ces patchs:
github.com/LimeSurvey/LimeSurvey/commit/...f0443dab2bb4889836e1
github.com/LimeSurvey/LimeSurvey/commit/...c778e834909a1fb4b896
github.com/LimeSurvey/LimeSurvey/commit/...744803ad8d8f44dcaa78

Par contre, je ne me rappelle pas de problème de sécurité avec le file upload. Tu peux donner le lien du bug ou du correctif ?

Denis
The administrator has disabled public write access.

Question sécurité 1 year 4 months ago #95989

  • doromano
  • doromano's Avatar
  • OFFLINE
  • Fresh Lemon
  • Posts: 3
  • Karma: 0
dans le fichier release_notes.txt du repertoire docs de la v2,
Il y une section

Changes from 2.00+ (build 130305) to 2.00+ (build 130311) Mar 11, 2013

qui contient la ligne

-Fixed issue: Security problems with uploaded files in administration (Carsten Schmitz)
The administrator has disabled public write access.

Question sécurité 1 year 4 months ago #95990

  • doromano
  • doromano's Avatar
  • OFFLINE
  • Fresh Lemon
  • Posts: 3
  • Karma: 0
J'ai oublié de te remercier pour ta réponse :blush:
The administrator has disabled public write access.

Question sécurité 1 year 4 months ago #95998

  • DenisChenu
  • DenisChenu's Avatar
  • OFFLINE
  • Moderator Lime
  • Posts: 6334
  • Thank you received: 818
  • Karma: 243
Bon,

Le patch est celui-ci:
github.com/LimeSurvey/LimeSurvey/commit/...6bd1757056fbc4f12453

En gros, c'était un administrateur qui pouvait accéder à des fonctionnalités du serveur. De plus on se sert de Yii juste au dessus.

Je veux pas m'engager à 100%, pas pris le temps de regarder le code de la192, mais vraiment peu de chance qu'il y ai le même problème.
The administrator has disabled public write access.
Moderators: Nickko
Time to create page: 0.103 seconds
Donation Image