Avis du CERT-FR

Objet: Vulnérabilité dans Dokeos

Gestion du document

Référence	CERTA-2006-AVI-157
Titre	Vulnérabilité dans Dokeos
Date de la première version	18 avril 2006
Date de la dernière version	18 avril 2006
Source(s)	Message posté sur le forum de Dokeos
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de commandes SQL.

Systèmes affectés

Dokeos versions 1.6.4 et antérieures ;
Dokeos community versions 2.0.3 et antérieures.

Description

Dokeos est un outil permettant de réaliser des cours en ligne.

Une vulnérabilité de type injection de commandes SQL a été découverte dans Dokeos.

Solution

La version 2.0.4 de Dokeos community corrige le problème. Il existe un correctif pour les versions 1.6.x mais celui-ci n'a pas encore été intégré dans une nouvelle version (voir Documentation).

Documentation

Site de Dokeos :
```
http://www.dokeos.com/
```

Message sur le forum de Dokeos :

http://www.dokeos.com/forum/viewtopic.php?t=6882

Version 2.0.4 de Dokeos community :

http://prdownloads.sourceforge.net/dokeos/dokeos-community-204.tar.gz

Correctif pour les versions 1.6.x :

http://www.dokeos.com/forum/annexes/dokeos.zip

Gestion détaillée du document

le 18 avril 2006: version initiale.