dolibarr-foundation-board | |
[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-foundation-board] A voir pour version 3.2
From: |
Régis Houssin |
Subject: |
Re: [Dolibarr-foundation-board] A voir pour version 3.2 |
Date: |
Tue, 10 Apr 2012 08:37:36 +0200 |
User-agent: |
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:11.0) Gecko/20120327 Thunderbird/11.0.1 |
je viens de regarder le code, il y a effectivement un "escapeshellarg"
sur la commande mais pas sur les paramètres, c'est pour ça qu'il y avait
encore la faille.
Le 10/04/12 01:02, Laurent Destailleur (eldy) a écrit :
> La commande ne doit pas etre nettoyé par GETPOST mais doit etre echapé
> par escapeshell.
>
> La correction a déjà été faite en dev il y a plusieurs jours.
>
>
> Le 09/04/2012 23:07, Régis Houssin a écrit :
>> dernière chose, la personne met ceci:
>>
>> Vendor said that the vulnerability was fixed in Development version of
>> 3.2.X branch. However, the fix for 3.1.X branch will be published by
>> June. Vendor accepted the public disclosure of this vulnerability
>>
>>
>> est-ce que c'est toi laurent qui lui aurait dit ceci ?
>>
>>
>> Le 09/04/12 21:12, address@hidden a écrit :
>>> Salut à tous,
>>>
>>> J'ai trouvé ceci ce soir : comme je ne sais pas trop à qui l'envoyer ..
>>>
>>> http://www.linux-backtrack.com/2012/04/dolibarr-erp-crm-os-command-injection/
>>>
>>>
>>>
>>> @+
>>>
>>> Jean
>>>
>> Cordialement,
>
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------