LimeSurvey Security Advisory 02/2018IMPORTANT: There has been a highly critical issue uncovered which allows an attacker to gain access to your Limesurvey installation and probably webspace. Type of issue The issue lets an attacker gain access to your LimeSurvey configuration file by using a vulnerability of the LimeSurvey Installer.The vulnerability was uncovered by the NguyenVan Tien Thanh (@yeuchimse) from Viettel Cyber Security Center and we are very grateful for the responsible disclosure. Affected LimeSurvey versions This issue affects all LimeSurvey versions starting from 2.x.Note: The LimeSurvey Professional hosting services are/were NOT affected. Exploits in the Wild There is currently no known exploit in the wild. Advised solution Update as soon as possible! There are two possible ways to resolve this issue: The quick way: This way works for all versions: Delete the file /application/controller/InstallerController.php from your LimeSurvey directory. This file is not needed by LimeSurvey anymore after installation. The update way:We prepared different update versions to keep the impact as small as possible: If you are using 2.6.x LTS, use ComfortUpdate to update to 2.6.7 LTS. If you are using 2.7x.x, use ComfortUpdate to update to version 2.73.1 or download version 2.73.1 here. If you are using 3.x, use ComfortUpdate to version 3.4.2 or download 3.4.2 here. Recommendations We recommend to use one of the advised solutions as soon as possible. Though there are no known exploits in the wild, there might very well be some coming soon.
- Detalhes
- Categoria: Segurança
A vulnerability of high severity was found in LimeSurvey which enables an attacker to get unauthorized access to files and data of your LimeSurvey installation. The LimeSurvey team thanks Pichaya Morimoto (discovery, analysis) from the SEC Consult Vulnerability Lab (https://www.sec-consult.com/) for responsibly reporting the identified issues and working with us as we addressed them. Affected Versions: All versions between 2.0+ (all builds) and 2.06+ Build 151014 Severity: HIGH How to fix: Upgrade to LimeSurvey 2.06+ Build 151016 or later. We stronlgy advise to upgrade to the latest 2.06+ version immediately, either manually or using ComfortUpdate.
- Detalhes
- Categoria: Em geral
Nos dias 04 e 05 de Novembro de 2014 realizar-se-á o primeiro curso LimeSurvey em Hamburgo/Alemanha.No curso intensivo de 2 dias, o formando ficará apto para o uso diário de LimeSurvey. No primeiro dia serão abordadas as bases do LimeSurvey e na segunda parte aprende-se como utilizar as funções adicionais (gestor de expressão, etc.) nos seus projetos. Na parte "Training on the job" também poderão ser tratados os seus próprios problemas.O Professor Kai Ravesloot é um parceiro autorizado do LimeSurvey e tem vindo a trabalhar em estreita colaboração com o LimeSurvey e com o Projeto LimeSurvey. Entre outras coisas, está empenhado no LimeSurvey nas áreas de funcionalidades e Code-Cleaning. Na nova página da Internet - www.lime support.com - oferece-lhes "Suporte 360°" sobre o LimeSurvey. Isso inclui consultoria, suporte, implementação de pesquisas e programação de plugins específicos. Se estiver interessado neste ou noutros cursos, pode obter mais informações ou efetuar inscrições em www.lime-support.com.
- Detalhes
- Categoria: Em geral
A LimeSurvey é uma organização participante no VALS Semester of Code.O evento Semester of Code foi criado por uma série de universidades europeias e o propósito do Semester of Code é desenvolver o envolvimento dos alunos com e apreciação de fazer parte das comunidades do software livre e do código aberto.Aguardamos com expectativa por quaisquer candidaturas de alunos das organizações VALS.Parece interessante? Consulte a página inicial do VALS Semester of Code.
- Detalhes
- Categoria: Segurança
Em LimeSurvey existia uma vulnerabilidade (CVE-2014-6227) que permite a um atacante obter um acesso de superadministrador à aplicação LimeSurvey.Esse problema afeta todas as versões 2.00 e 2.05 todas as versões antes de programar o 140.821. Tudo o mais recente após a versão de 2,05 (a partir da construção 140821) não são afetados.Embora atualmente não haja nenhuma exploração conhecida na natureza é altamente recomendável atualizar todas as versões anteriores para a versão mais recente LimeSurvey de imediato. Após a atualização deve verificar se há contas de administradores desconhecidos em LimeSurvey.Nota: Se é um utilizador LimeService não precisa de se preocupar, pois temos a certeza (acima de qualquer outra coisa) que a LimeService utiliza sempre usa os patches (percursos) mais recentes de programação segurança.
- Detalhes
- Categoria: Em geral
A maioria de vocês já deve ter notado que recentemente nós começamos a lançar 2.05+ no mercado. LimeSurvey 2.05 é um potente passo em frente em relação à capacidade do plug-in para alargar o seu LimeSurvey com as suas funções próprias. O conceito de plug-in no seu todo ainda está na sua fase de infância e pode ainda estar a faltar alguma função mas estamos a aguardar por todas as contribuições da comunidade que ajudem a ampliar a funcionalidade atual. Também a nova versão irá definir novos limites para os códigos de perguntas e assim garantir a integridade e preparar-se para mudanças importantes que chegarão com o 2.1 e o 2.2.Repare por favor que o 2,05+ ainda não está disponível em ComfortUpdate porque estamos a esclarecer e a resolver algumas questões menores de atualização. Tornar-se-á automaticamente disponível quando tivermos a certeza de que tudo o que é relativo a atualização está a funcionar suficientemente bem. Indicações e ajuda (relatórios de erros) são sempre bem-vindas!
- Detalhes
- Categoria: Em geral
Como o LimeSurvey versão 1.90 está disponível em LimeService por algum tempo estaremos reativando a promoção do LimeService.com. Se você nós enviar sua tradução atualizada para LimeSurvey nós vamos recompensar todo o texto com uma resposta no LimeService!Por exemplo: Se você contribuir com uma nova língua para o LimeSurvey você pode ganhar até 2.200 respostas - que tem um valor de mais de 100 USD.Regras: Toda linguagem e ilegivel quando está abaixo de 95% ( veja o a página de status de tradução em limesurvey.org) Você deve pelo menos ter traduzido 100 blocos de idioma. Você deve falar a língua nativamente, por favor não tenta traduzir com uma tradução automática porque nós e as pessoas vão notar esta tradução ruim. Todas as traduções estão automaticamente contribuíndo com o projeto LimeSurvey sob a licença GNU General Public License (open source). Então você está mesmo fazendo algo bom para a comunidade LimeSurvey. Se você estiver interessado em ajudar-nos a traduzir e ganhar respostas gratuitas faça o seguinte: Leia as instruções de como atualizar um idioma existente Para evitar cruzamentos favor da equipe LimeService sobre o idioma que você pretende traduzir veja a data aproximada da sua apresentação. Envie sua tradução para o time LimeService para que possamos verificar isso e creditado na sua conta em conformidade. Claro que são sempre bem-vindo para nos enviar sua tradução atualizada se você não quiser usar LimeService. Uma vida de código aberto do projeto com a ajuda voluntária. LimeSurvey LimeService estão aguardando a sua participação!
- Detalhes
- Categoria: Em geral
New features in LimeSurvey 1.90 (from 1.87+) +New translation: Maltese kindly provided by Richard Pullicino - richard (dot) pullicino (at) me (dot) com (c_schmitz)+New translation: Irish - kindly contributed by Karin Whooley, National Centre for Technology in Education, Dublin (c_schmitz)+New translation: Hindi (abhinav1, smartbehl)+New feature: Very basic HTTPS support (c_schmitz) - allows dynamic switching between https and http+New feature: Displays name of quota as header when adding new 'answers' (jcleeland)+New feature: Show number of tokens and response rate for surveys using tokens. (maziminke)+New feature: Layout improvements to make distingushing quotas a bit easier, messagebox class for add-answer, and new option to make adding multiple answers to a quota simpler (jcleeland)+New feature: Default values can now be set in a different dialog. Language dependant default values for the option 'Other' now possible (c_schmitz)+New feature: Multiple label sets can be exported/imported now as one file. (c_schmitz)+New feature: Non-standard design templates now reside in the /upload/templates dir. Makes backup of user generated content easier since it is all in one place and also allows to set stricter permissions on the standard /templates dir (c_schmitz)+New feature: Show number of tokens and response rate for surveys using tokens. (maziminke)+New feature: Support for native MSSQL 2005+ adodb driver - patch by c-pucci (c_schmitz)+New feature: When browsing responses you can mark now several responses for deletion and delete all with a single click (c_schmitz)+New feature #4272: Disable scrollwheel in listboxes/dropdownboxes to prevent accidental scrolling - patch kindly provided by 'jas' (lemeur)+New feature: Database-based sessions for load balanced servers which can be activated by a new configuration settings (see config-defaults.php) (c_schmitz)+New feature: While creating a survey you can now copy an existing one (machaven)+New feature: Completely reworked XML-based import/export format for questions/groups/surveys/label sets (cschmitz)+New feature: Label sets are no longer connected to questions - they are merely templates for subquestions or answers (cschmitz)+New feature: New concept of sub-questions was introduced (cschmitz)+New feature: Completely new AJAX interface for editing answers/subquestion including the ability to quick-add/replace from label sets or by pasting from Excel or CSV (cschmitz)+New feature: Integrity check now checks and removes invalid survey permissions automatically (c_schmitz)+New feature: Integrity check now checks for orphaned survey language settings (c_schmitz)+New feature: Multiple checkbox selection in template rights screen, so you can choose all templates or no templates with one click (jcleeland)+New feature #2613: Added question attribute "numbers_only" to question type "Array Multi Flexible Text" - actually, it's adding attribute "Text inputs" to the array (numbers) question type, so that it presents a text input box rather than a dropdown. Note, if selected, overrides minimum value, maximum value and step. (jcleeland)+New feature: Input-boxes for array (numbers) question type (jcleeland)+New feature: When filtering for text questions you can use now % and * as wildcards and use OR and ',' as separators matching for multiple values at the same time - patch by ecaron (c_schmitz)+New feature: If the maximum character question attribute is set then the print view is properly adjusted (mdekker)+New feature: Question divs now have ID with schema 'question' so you can style questions in print view individually (c_schmitz)+New feature: When copying a question, LimeSurvey now displays the newly created (copied) question after saving (jcleeland)+New feature: Delete multiple token entries using select boxes (jcleeland)+New feature: Usability enhancements to response browsing (cschmitz)+New feature: Use @@SURVEYURL@@ in invitation/reminder emails to be able to use it inside an link (cschmitz)+New feature: Opt-out feature for invitations/reminder emails (cschmitz)+New feature: Question attributes for the time_limit feature - disable previous button while timer counts down, 2nd warning message, insert your own countdown text. Also re-ordered display of time limit group in advanced settings. (jcleeland)+New feature: Survey count for each users is shown in the user administration (c_schmitz)+New feature: {INSERTANS:xxx} placeholders are now available in confirmation email for surveys with non-anonymous answers. (lemeur)#Updated feature: the {TOKEN} replacement field is now available in confirmation email. (lemeur)#Updated feature: Dropped support for importing questions/question groups/survey from any PHPSurveyor/LimeSurvey version older than 1.50 (DBversion 114) (c_schmitz)#Updated feature: Changed the class for the {QUESTIONHELP} element to "survey-question-help" in all templates (differentiates it from the {QUESTION_HELP} element) (tpartner)#Updated feature: Allow .ico files to be uploaded at the template editor so that users can upload their own favicons. (maziminke)