Bonjour,

Je travaille dans un organisme public, et nous utilisons (malheureusement) une vieille version de LimeSurvey : la 2.05+ Build 140915, hébergée sur nos serveurs.

Pour faire valider la MAJ vers la dernière version stable, je dois argumenter sur les failles de sécurité de notre version. J'ai bien vu qu'elle était sur php 5, et ce sera l'argument principal (et certainement suffisant), mais je préfère avoir un dossier solide.
Lorsque je regarde le fichier des release sur github, je n'arrive pas à trouver les MAJ de correction de failles de sécurité.

Est-ce qu'en dehors de php, vous connaissez d'autres importantes failles de sécurité ?

Merci !

Je n'ai pas en tête la liste des failles de sécurité mais ça doit se trouver dans un changelog ou sur github.

Un autre bon argument c'est le support, cette version n'est plus supporté et si tu demande de l'aide, il y a fort à parier que plus personne ne se souvienne vraiment comment fonctionne cette version.

Oui, la 2.05 possède de graves faille de sécurités publiques

Sinon,
Proposer la mise à jour vers la 3.X-LTS : très stable, sans bogues et sera trés peu mise à jour (uniquement de sécurité).

Pour les failles
github.com/LimeSurvey/LimeSurvey/blob/3....cs/release_notes.txt
cherche [security]



Sinon piur quelques failles sympa de ta version
github.com/SondagesPro/LimeSurvey-Sondag...elease_notes.txt#L82 nécessite un accés admin mais SQL injection ....

github.com/SondagesPro/LimeSurvey-Sondag...lease_notes.txt#L317
Possibilité d'accés à n'importe quel fichier du seerveur à toutes personnes (c'est la pire des failles de sécurité possible à mon avis).

Merci beaucoup pour vos réponses, que j'ai bien noté.

Merci également pour la suggestion de version à privilégier.

Proposer la mise à jour vers la 3.X-LTS : très stable, sans bogues et sera très peu mise à jour (uniquement de sécurité).

Vous pensez qu'elle sera maintenue encore plusieurs années ?

Charlotte1981 wrote:

Proposer la mise à jour vers la 3.X-LTS : très stable, sans bogues et sera très peu mise à jour (uniquement de sécurité).

Vous pensez qu'elle sera maintenue encore plusieurs années ?

1 an c'est déjà trés long en support informatique ....

Et quand on parle de maintenance : cela veut dire que des mises à jour seront effectuées en cas de faille de sécurité. Mais il faut tout de même quelqu'un pour effectuer la mise à jour.

Denis

Merci pour ces précisions.

et oui, nous avons une équipe qui se charge de la maintenance / MAJ des applications utilisées.

Je me permets de poser une autre question, à laquelle je ne trouve pas de réponse, malgré plusieurs mots clés différents dans la recherche.

savez-vous quelles sont les principales nouveautés entre la v2.05 et la v3 ? J'ai bien noté la possibilité d'inclure une option RGPD avant de répondre au questionnaire (à partir de la v3.14), mais qu'est-ce qu'il y aurait d'autre ?