Re: [Dolibarr-foundation-board] A voir pour version 3.2

[address@hidden]

On pourrais publier un patch à appliquer pour les versions stable ?


Le 10 avr. 2012 à 08:37, Régis Houssin a écrit :

> je viens de regarder le code, il y a effectivement un "escapeshellarg"
> sur la commande mais pas sur les paramètres, c'est pour ça qu'il y avait
> encore la faille.
> 
> 
> Le 10/04/12 01:02, Laurent Destailleur (eldy) a écrit :
>> La commande ne doit pas etre nettoyé par GETPOST mais doit etre echapé
>> par escapeshell.
>> 
>> La correction a déjà été faite en dev il y a plusieurs jours.
>> 
>> 
>> Le 09/04/2012 23:07, Régis Houssin a écrit :
>>> dernière chose, la personne met ceci:
>>> 
>>> Vendor said that the vulnerability was fixed in Development version of
>>> 3.2.X branch. However, the fix for 3.1.X branch will be published by
>>> June. Vendor accepted the public disclosure of this vulnerability
>>> 
>>> 
>>> est-ce que c'est toi laurent qui lui aurait dit ceci ?
>>> 
>>> 
>>> Le 09/04/12 21:12, address@hidden a écrit :
>>>> Salut à tous,
>>>> 
>>>> J'ai trouvé ceci ce soir : comme je ne sais pas trop à qui l'envoyer ..
>>>> 
>>>> http://www.linux-backtrack.com/2012/04/dolibarr-erp-crm-os-command-injection/
>>>> 
>>>> 
>>>> 
>>>> @+
>>>> 
>>>> Jean
>>>> 
>>> Cordialement,
>> 
> 
> Cordialement,
> -- 
> Régis Houssin
> ---------------------------------------------------------
> Cap-Networks
> Cidex 1130
> 34, route de Gigny
> 71240 MARNAY
> FRANCE
> VoIP: +33 1 83 62 40 03
> GSM: +33 6 33 02 07 97
> Web: http://www.cap-networks.com/
> Email: address@hidden
> 
> Dolibarr developer: address@hidden
> Web Portal: http://www.dolibarr.fr/
> SaaS offers: http://www.dolibox.fr/
> Shop: http://www.dolistore.com/
> Development platform: https://doliforge.org/
> ---------------------------------------------------------
>