You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

Topic closed

#1 2013-09-21 15:50:16

JMD
GLPI - Lead
Registered: 2004-09-13
Posts: 9,180
Website

Alerte de sécurité - Security alert

- you'll find an english version at the end  -

Bonjour,

Une mise à jour de sécurité GLPI 0.84.2 a été publiée le 12/09/2013 afin de corriger une faille de sécurité du processus d’installation.
Comme à l’accoutumé, nous avons fortement recommandé à l’ensemble de nos utilisateurs de mettre à jour leur GLPI.

Nous venons de découvrir qu’une société diffuse ouvertement sur le web un script complet permettant d’exploiter de façon automatisée cette faille.

Pour éviter toute action par des individus malveillants, nous invitons à nouveau et d’urgence tous nos utilisateurs à mettre à jour leur GLPI en version 0.84.2.

Si vous êtes dans l’impossibilité de mettre à jour votre GLPI, vous pouvez simplement supprimer le répertoire install/ et les fichiers s’y trouvant.

Nous désapprouvons totalement ce genre de comportement qui d’une part s’écarte fortement de la démarche constructive en vigueur dans l’eco-système open-source et d’autre part met en difficulté nos utilisateurs qui ne sont pas responsables de nos erreurs.

Depuis dix ans, nous mettons un point d’honneur à citer et remercier les personnes qui nous alertent sur des problématiques de sécurité et à publier dans les délais les plus brefs des versions correctives. Ceci au prix d’une mobilisation exceptionnelle et systématique de l’équipe de développeurs bénévoles animée par le respect de nos utilisateurs. Il semble que ce respect ne soit pas partagé par tous...

--
L'équipe de développement.


# English version #


Hi,

A security update (GLPI 0.84.2) was published on September 12th 2013 in order to correct a security issue in the installation process.

As always, we have highly incited our users to update their GLPI.

We have just discovered that a company is  publishing on the web a complete script which enables to massively  exploit this security issue.

In order to avoid any malevolence, we strongly and urgently recommend all our users to update their GLPI with the 0.84.2 version.

If you can't update your GLPI, you can simply delete the 'intall/' directory along with its content.

We totally disapprove of this kind of behaviour which, on the one hand, goes against the open-source ethics and on the other hand jeopardizes our users who are not responsible of our own mistakes.

Over the past tens years, we have always quoted and thanked the people who find security issues in our application. When such a problem occurs, our team of volunteers, who respect our users,  work day and night to publish as quickly as possible a corrected version. It seems that not everyone is as respectful of users as we are...

Best regards,

--
The development Team

JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir

Offline

#2 2013-09-23 16:07:53

laurent.david
Member
From: Laurent
Registered: 2009-01-02
Posts: 12

Re: Alerte de sécurité - Security alert

scandaleux... j'aimerai connaitre leur intérêt vis à vis d'un outil comme GLPI.
J'ai vu le site (en plus très bien référencé par Google).

Ou alors, vous commencez à faire des envieux/jaloux, ce qui est un signe du très beau travail que vous faites.

en tout cas, on met à jour en urgence et on continue d'utiliser GLPI.

Offline

Pages: 1

Topic closed

Board footer

Powered by FluxBB