Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi

SUJET : Question sécurité

Question sécurité il y a 1 an 3 mois #95979

  • doromano
  • Portrait de doromano
  • Hors ligne
  • Fresh Lemon
  • Messages : 3
  • Karma: 0
Bonjour,

Sur la version 2.0 de limesurvey build 130311, il y a un fix pour un problème de sécurité sur l'upload de document dans la partie admin.

Pourriez-vous me dire si cette faille concerne également la version 1.92+ (Build 120919)

d'avance merci.
L'administrateur a désactivé l'accès en écriture pour le public.

Question sécurité il y a 1 an 3 mois #95984

  • DenisChenu
  • Portrait de DenisChenu
  • Hors ligne
  • Moderator Lime
  • Messages : 6276
  • Remerciements reçus 801
  • Karma: 241
Sur la dernière buil de la 1.92 (en fait celle après l'officielle), j'ai corrigé pas mal de faille de sécurite.

Il vaut donc déjà mieux prendre la dernière version:
github.com/LimeSurvey/LimeSurvey/tree/1.92

Avec ces patchs:
github.com/LimeSurvey/LimeSurvey/commit/...f0443dab2bb4889836e1
github.com/LimeSurvey/LimeSurvey/commit/...c778e834909a1fb4b896
github.com/LimeSurvey/LimeSurvey/commit/...744803ad8d8f44dcaa78

Par contre, je ne me rappelle pas de problème de sécurité avec le file upload. Tu peux donner le lien du bug ou du correctif ?

Denis
L'administrateur a désactivé l'accès en écriture pour le public.

Question sécurité il y a 1 an 3 mois #95989

  • doromano
  • Portrait de doromano
  • Hors ligne
  • Fresh Lemon
  • Messages : 3
  • Karma: 0
dans le fichier release_notes.txt du repertoire docs de la v2,
Il y une section

Changes from 2.00+ (build 130305) to 2.00+ (build 130311) Mar 11, 2013

qui contient la ligne

-Fixed issue: Security problems with uploaded files in administration (Carsten Schmitz)
L'administrateur a désactivé l'accès en écriture pour le public.

Question sécurité il y a 1 an 3 mois #95990

  • doromano
  • Portrait de doromano
  • Hors ligne
  • Fresh Lemon
  • Messages : 3
  • Karma: 0
J'ai oublié de te remercier pour ta réponse :blush:
L'administrateur a désactivé l'accès en écriture pour le public.

Question sécurité il y a 1 an 3 mois #95998

  • DenisChenu
  • Portrait de DenisChenu
  • Hors ligne
  • Moderator Lime
  • Messages : 6276
  • Remerciements reçus 801
  • Karma: 241
Bon,

Le patch est celui-ci:
github.com/LimeSurvey/LimeSurvey/commit/...6bd1757056fbc4f12453

En gros, c'était un administrateur qui pouvait accéder à des fonctionnalités du serveur. De plus on se sert de Yii juste au dessus.

Je veux pas m'engager à 100%, pas pris le temps de regarder le code de la192, mais vraiment peu de chance qu'il y ai le même problème.
L'administrateur a désactivé l'accès en écriture pour le public.
Modérateurs: Nickko
Temps de génération de la page : 0.133 secondes
Donation Image