Faille de sécurité majeure

Appliquer les derniers patchs de sécurité pour garder votre application sécurisée / Security fixes. Apply the last patch to keep your application safe!
simon
Messages : 167
Inscription : dim. 1 févr. 2009 12:58
Contact :

Faille de sécurité majeure

Message non lu par simon » mar. 3 mai 2011 11:36

Bonjour,

Une faille de sécurité majeure a été découverte. Elle permet l'usurpation des comptes utilisateurs (y compris administrateurs) via injection SQL.

Toutes les versions sont concernées, y compris la version 1.4 si elle a été téléchargée avant le 3 mai 2011.
Une version sécurisée a été repackagée après cette date. Le tag reste inchangé (1.4).

Pour sécuriser l'application, éditez le fichier /lib/functions_auth.php et ajouter la ligne (autour de la ligne 38 -variable selon les versions) :

Code : Tout sélectionner

  list($login, $crypt_pass) = $GLOBALS['sql_object']->DBEscape(array($login, $crypt_pass));


après l'instruction :

Code : Tout sélectionner

$crypt_pass = crypt($pass, SALT_CRYPT);
Simon.
Pour un système de gestion open source des indicateurs de développement durable : http://www.linea21.com

Répondre