W związku z wykryciem błędów w obsłudze sesji i autoryzacji informujemy, że w wersji 1.6.3 zostały one już poprawione i zalecamy aktualizację.
1. Błąd polegał na zapisywaniu niezakodowanych haseł w sesji, a jak wiadomo sesja jest obecnie przechowywana w bazie danych. W związku z tym istaniało prawdopodobieństwo, że osoba mająca dostęp do bazy LMSa może podglądnąć hasła zalogowanych do LMS-UI użytkowników. Od 1.6.3 hasła nie są przechowywane w sesji.
2. Dane sesji były także zapisywane w backupie, co stanowi jeszcze większe zagrożenie. Zaleca się przeglądnięcie plików backupu i usunięcie z nich tych danych. Od wersji 1.6.3 tabela sessions jest wyłączona z backupu.
Poprawki nie były zbyt długo testowane, dlatego prosimy zgłaszać jakiekolwiek problemy, które wystąpią po aktualizacji.
p.s. wersja 1.7-cvs także zawiera już stosowne poprawki.
uczestnicy (1)
-
A.L.E.C