dolibarr-foundation-board | |
[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-foundation-board] A voir pour version 3.2
From: |
address@hidden |
Subject: |
Re: [Dolibarr-foundation-board] A voir pour version 3.2 |
Date: |
Tue, 10 Apr 2012 11:39:59 +0200 |
On pourrais publier un patch à appliquer pour les versions stable ?
Le 10 avr. 2012 à 08:37, Régis Houssin a écrit :
> je viens de regarder le code, il y a effectivement un "escapeshellarg"
> sur la commande mais pas sur les paramètres, c'est pour ça qu'il y avait
> encore la faille.
>
>
> Le 10/04/12 01:02, Laurent Destailleur (eldy) a écrit :
>> La commande ne doit pas etre nettoyé par GETPOST mais doit etre echapé
>> par escapeshell.
>>
>> La correction a déjà été faite en dev il y a plusieurs jours.
>>
>>
>> Le 09/04/2012 23:07, Régis Houssin a écrit :
>>> dernière chose, la personne met ceci:
>>>
>>> Vendor said that the vulnerability was fixed in Development version of
>>> 3.2.X branch. However, the fix for 3.1.X branch will be published by
>>> June. Vendor accepted the public disclosure of this vulnerability
>>>
>>>
>>> est-ce que c'est toi laurent qui lui aurait dit ceci ?
>>>
>>>
>>> Le 09/04/12 21:12, address@hidden a écrit :
>>>> Salut à tous,
>>>>
>>>> J'ai trouvé ceci ce soir : comme je ne sais pas trop à qui l'envoyer ..
>>>>
>>>> http://www.linux-backtrack.com/2012/04/dolibarr-erp-crm-os-command-injection/
>>>>
>>>>
>>>>
>>>> @+
>>>>
>>>> Jean
>>>>
>>> Cordialement,
>>
>
> Cordialement,
> --
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03
> GSM: +33 6 33 02 07 97
> Web: http://www.cap-networks.com/
> Email: address@hidden
>
> Dolibarr developer: address@hidden
> Web Portal: http://www.dolibarr.fr/
> SaaS offers: http://www.dolibox.fr/
> Shop: http://www.dolistore.com/
> Development platform: https://doliforge.org/
> ---------------------------------------------------------
>