Bonjour,

Je suppose que vous êtes au courant ?
Pour le cas contraire et pour information :

Date de Publication : 2007-07-16
Titre : eSyndiCat Directory Software "id" and "name" Remote SQL Injection Vulnerabilities
Identifiant : FrSIRT/AVIS-2007-2543
CVE ID : CVE-2007-3811 (http://www.frsirt.com/english/CVE-2007-3811.php)
Risque : Modéré http://www.frsirt.com/images/2.gif (http://www.frsirt.com/risques.php)
Exploitable à distance : Oui
Exploitable en local : Oui
Description Technique
(http://www.frsirt.com/services/index.php#vns)
(http://www.frsirt.com/services/index.php#vns)
(http://www.frsirt.com/services/index.php#vns) Plusieurs vulnérabilités ont été identifiées dans eSyndiCat Directory Software, elles pourraient être exploitées par des utilisateurs distants afin de conduire des attaques par injection SQL. Ces problèmes résultent d'erreurs présentes aux niveaux des scripts "news.php" et "page.php" qui ne filtrent pas les paramètres "id" et "name", ce qui pourrait être exploité par des attaquants distants afin d'exécuter des requêtes arbitraires SQL.

Versions Vulnérables

eSyndiCat Directory Software 1.x

Solution

Aucun correctif officiel n'est disponible pour l'instant.

Références

http://www.frsirt.com/bulletins/11106

CDT

C'est pour ca que...
C'est pour ces vulnerabilites qu'ils ont créé les versions... comme maintenant 2.1.03. Donc si vous utilisez les versions plus bas, eSyndicate n'a pas la responsabilité car ils ont deja créé plusieurs version nouvelles contre ces vulnerabilites.
En plus biontot 2.2 va arriver :)

...
En plus bientôt 2.2 va arriver :)

Génial, à défaut d'une date probable de sortie, pourrait on avoir un sommaire des nouveautés de cette version ?

ici;
http://www.esyndicat.com/forum/post66492-1.html

Mais c'est en Anglais donc vous pourrez utiliser votre SYSTRAN :)
Sinon je pourrai essayer de les traduire pour vous...

Bonjour TurXaliM,

Merci pour l'information.

En fait c'est principalement de la fainéantise. De plus il est vrai que je déchiffre l'anglais en lecture si il s'agit d'informatique et qu'il n'y a pas trop de texte mais pour la conception j'ai un peu plus de mal ...

Toutefois après plus de 30 années dans l'informatique, Cobol, CICS, DLI, DB2 et SAS institute dans le domaine Banque et Assurance, j'ai bien été obligé de m'y mettre notamment pour la lecture. Quand il s'agit de domaine connu je lis presque normalement, toutefois quand il s'agit de domaine inconnu, et qu'il faut acquérir de nouvelles notions comme par exemple les catégories croisées ou relatives j'ai plus de difficultés.

Bon eh bien après lecture cela semble sympathique. Le programme des réjouissances semble intéressant.

@++

Bonjour,

Je viens de télécharger la version 1.6, les failles de sécurité ont elles été corrigées dans cette version ?

Merci

Noël

Bonjour,

La 1.6 est une version récente et dans la ligne free, or le problème relativement ancien date de la version 1.x en version pro, donc tu n'a rien à craindre.

Attention toutefois cette cochonnerie de EsyndiCat est tellement formidable que l'essayer c'est l'adopter ;-)

Bien sur après tu voudras surement l'acheter, et là malheureusement lors de mes dernières recherche il n'existait pas de script permettant de migrer de 1.6 à 2.2, il te faudra écrire les scripts de conversion.

Mais si le front office est extra, tu vas voir le back office est encore mieux avec eSyndiCat.

bonsoir et merci pour ta réponse.

Est ce que tu sais si dans la verion PRO 2.2, il y a la possibilité d'avoir la liste des site d'une catégorie ou sous catégorie avec la à coté la vignette de chaque site sans être obligé d'aller dans le détail du site pour avoir la vignette.

Merci

@prestu

Noël