Re: [libertempo] Audit de sécurité de Libertempo

[Prytoegrian <prytoegrian@xxxxxxxxxxxxxx>]

Bonjour,

comme tu t'en doutes, nous prenons ton mail avec le plus grand des sérieux. Te serait-il possible d'exclure le répertoire vendor de l'analyse ? Je vais avoir besoin de m'organiser et la priorité reste notre logiciel et son code. Pour les autres, j'irai frapper à la porte des fournisseurs incriminés.

Quoi qu'il en soit, merci de l'audit. Si vous utilisez l'appli et que vous avez besoin que les correctifs sortent vite, nous acceptons quelques bras en plus.

+

Sent with ProtonMail Secure Email.

‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐

On 9 May 2018 9:20 AM, Vincent Guédé <vincent.guede@xxxxxxxxxxxxxx> wrote:

Bonjour,

Suite à la découverte de la faille XSS sur Libertempo, nous avons soumis la dernière version de l'application à un audit de sécurité via CheckMarx.

Je vous envoie le rapport de cet audit.

Par analyse manuelle, nous avons confirmé la quasi totalité des failles de sévérité high. Vous verrez d'ailleurs que la faille XSS signalée n'est qu'une parmi près de 350 potentielles.

Bien entendu, selon les règles de découverte des failles de sécurité, nous ne publions pas cet audit pour vous laisser tout le temps nécessaire pour corriger les problèmes de sécurité.

Bien cordialement,

--

Vincent Guédé

Chargé de mission à la DSI du Rectorat de Bordeaux

Administrateur des ENT académiques

05.57.57.38.00 poste 4437