Prise de contrôle potentielle du serveur par un attaquant

Christophe, alia Kriskool a publié cette semaine une alerte sécurité concernant OpenERP.

Il s'agit d'une faiblesse des contrôles effectués par l'interface web-service d'OpenERP qui permettait, sous certaines conditions, de remplacer le mot de passe administrateur du serveur et d'obtenir un accès complet à l'ERP.

Nous n'avons pas tenté de recréer en laboratoire les conditions nécessaires à l'exploitation de cette vulnérabilité, mais le risque est effectivement élevé pour les serveur en ligne ayant des données réelles. Nous recommandons donc la mise à jour rapide des serveurs exposés à internet.

Voici l'annonce complète :

http://blog.kryskool.org/index.php/post/2009/09/21/Faille-de-securite-dans-OpenERP-50-et-anterieur