Page 1 sur 1

Faille de sécurité majeure

Publié : mar. 3 mai 2011 11:36
par simon
Bonjour,

Une faille de sécurité majeure a été découverte. Elle permet l'usurpation des comptes utilisateurs (y compris administrateurs) via injection SQL.

Toutes les versions sont concernées, y compris la version 1.4 si elle a été téléchargée avant le 3 mai 2011.
Une version sécurisée a été repackagée après cette date. Le tag reste inchangé (1.4).

Pour sécuriser l'application, éditez le fichier /lib/functions_auth.php et ajouter la ligne (autour de la ligne 38 -variable selon les versions) :

Code : Tout sélectionner

  list($login, $crypt_pass) = $GLOBALS['sql_object']->DBEscape(array($login, $crypt_pass));


après l'instruction :

Code : Tout sélectionner

$crypt_pass = crypt($pass, SALT_CRYPT);