Re: [Dolibarr-foundation-board] A voir pour version 3.2

[Laurent Destailleur (eldy)]

Bien vu.

Le 10/04/2012 08:37, Régis Houssin a écrit :
> je viens de regarder le code, il y a effectivement un "escapeshellarg"
> sur la commande mais pas sur les paramètres, c'est pour ça qu'il y avait
> encore la faille.
>
>
> Le 10/04/12 01:02, Laurent Destailleur (eldy) a écrit :
> > La commande ne doit pas etre nettoyé par GETPOST mais doit etre echapé
> > par escapeshell.
> >
> > La correction a déjà été faite en dev il y a plusieurs jours.
> >
> >
> > Le 09/04/2012 23:07, Régis Houssin a écrit :
> > > dernière chose, la personne met ceci:
> > >
> > > Vendor said that the vulnerability was fixed in Development version of
> > > 3.2.X branch. However, the fix for 3.1.X branch will be published by
> > > June. Vendor accepted the public disclosure of this vulnerability
> > >
> > >
> > > est-ce que c'est toi laurent qui lui aurait dit ceci ?
> > >
> > >
> > > Le 09/04/12 21:12, address@hidden a écrit :
> > > > Salut à tous,
> > > >
> > > > J'ai trouvé ceci ce soir : comme je ne sais pas trop à qui l'envoyer ..
> > > >
> > > > http://www.linux-backtrack.com/2012/04/dolibarr-erp-crm-os-command-injection/
> > > >
> > > >
> > > >
> > > > @+
> > > >
> > > > Jean
> > > Cordialement,
> Cordialement,

--
Eldy (Laurent Destailleur).
---------------------------------------------------------------
EMail: address@hidden
Web: http://www.destailleur.fr

Dolibarr (Project leader): http://www.dolibarr.org
To make a donation for Dolibarr project via Paypal: address@hidden
AWStats (Author) : http://awstats.sourceforge.net
To make a donation for AWStats project via Paypal: address@hidden
AWBot (Author) : http://awbot.sourceforge.net
CVSChangeLogBuilder (Author) : http://cvschangelogb.sourceforge.net