Depuis maintenant quelques mois, l'équipe de LimeSurvey s'oblige à réaliser de nombreux audits de sécurité du code de base de LimeSurvey. (Merci à l'équipe Ubuntu Server d'avoir montrer les premiers problèmes et de nous avoir guider pour démarrer.)

Durant ce processus, de nombreuses failles de sécurité ont été corrigéess dans le code source, dont :

• Failles avec la possibilité de manipuler des variables quand register_globals est activé dans PHP

• Injection de données de sessions & manipulation

• Problèmes permanents ou non de XSS qui permettent à un attaquant de prendre le contrôle en injectant sous propre code javascript dans l'application

• Problèmes relatifs aux sessions permettant à un attaquant de s'attribuer la session et/ou obtenir une escalation de privilèges   

La plupart de ces failles été déjà corrigées pour la version 1.71 stable. (Versions touchées : 1.70+ (toutes versions) et plus anciennes)

En plus de tout ça, nous avons corrigé 2 failles modérées pour la version 1.71 en cours . Il s'agit de

• Deux attaques XSS dues à des défauts de sécurité dans le navigateur IE6.

• Attaque Session Fixation

Merci à notre conseiller en sécurité Michal Tresner pour leur signalisation.

Exploits dans la nature : Pas d'exploits connus à ce jour. Nous vous recommandons fortement de mettre à jour pour qu'il en reste ainsi !

Solution : Mette à jour vers la dernière version 1.71+ Build 5147 de LimeSurvey ou une version encore plus récente disponible depuis http://www.limesurvey.org

Cette alerte de sécurité fait référence à CVE-2008-2659 - LimeSurvey XSS candidate