You are not logged in.
Nous avons publié des versions correctives le 14 Septembre 2022 :
Celles-ci corrigent deux failles de sécurité critiques : une Injection SQL (CVE-2022-35947), et une "Remote Code Execution" (CVE-2022-35914, faille dans la librairie tierce, htmlawed), cette dernière est massivement exploitée depuis le 3 Octobre 2022 pour executer du code sur les serveurs non sécurisés, disponibles sur internet, qui hébergent GLPI (les instances GLPI Network Cloud ne sont pas impactées).
Si vous n'êtes pas dans la dernière version 9.5.9 ou 10.0.3, vous devez impérativement mettre à jour vos instances selon la méthode recommandée (à partir d'un dossier vide, sans écraser les fichiers existants de GLPI).
Nous avons remarqué qu'il existe un scénario où les versions correctives peuvent elle aussi être impactées : lorsqu'une mise à jour de GLPI a été effectuée, en décompressant l'archive par dessus les dossiers et fichiers existants.
Nous insistons sur le fait que cette manière de mettre à jour GLPI est une mauvaise pratique et outre le problème de sécurité actuel, vous expose à des bugs.
Nous vous invitons à ré-installer correctement votre GLPI comme indiqué dans la documentation :
à partir d'un dossier vide
copiez les fichiers de l'archive de la dernière version
récupérez vos dossiers `config/` et `files/` depuis l'ancienne instance.
Solutions de contournement pour traiter l'urgence de la RCE (cela ne corrige pas l'injection SQL) :
supprimez le fichier `vendor/htmlawed/htmlawed/htmLawedTest.php` (attention ne pas toucher au fichier `htmLawed.php` qui est légitime).
empêchez l'accès web au dossier `vendor/` en positionnant (dans le cas d'Apache par exemple) un `.htaccess` adéquat.
Si votre serveur a déjà été corrompu, il vous faut probablement repartir d'un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.
Besoin d'un support professionnel pour GLPI ? Pensez à GLPI Network ! https://glpi-project.org/fr/tarifs/
Connaissez-vous l'offre Cloud maintenue et supportée par l'équipe qui édite GLPI ?
Vous pouvez tester gratuitement pendant 45 jours ! https://glpi-network.cloud (ou plus si besoin)
Offline