You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2022-10-05 11:33:24

francois-teclib
Expert GLPI
From: TECLIB
Registered: 2006-11-05
Posts: 76
Website

Message important à propos de la sécurité (9.5.9 / 10.0.3) !

Nous avons publié des versions correctives le 14 Septembre 2022 :

  • 9.5.9 : 9.5.9-DOWNLOAD_GLPI-green.svg?logo=php&logoColor=white&style=for-the-badge?logo=php&logoColor=white&style=for-the-badge

  • 10.0.3 : 10.0.3-DOWNLOAD_GLPI-green.svg?logo=php&logoColor=white&style=for-the-badge?logo=php&logoColor=white&style=for-the-badge

Celles-ci corrigent deux failles de sécurité critiques : une Injection SQL (CVE-2022-35947), et une "Remote Code Execution" (CVE-2022-35914, faille dans la librairie tierce, htmlawed), cette dernière est massivement exploitée depuis le 3 Octobre 2022 pour executer du code sur les serveurs non sécurisés, disponibles sur internet, qui hébergent GLPI (les instances GLPI Network Cloud ne sont pas impactées).

Si vous n'êtes pas dans la dernière version 9.5.9 ou 10.0.3, vous devez impérativement mettre à jour vos instances selon la méthode recommandée (à partir d'un dossier vide, sans écraser les fichiers existants de GLPI).

Nous avons remarqué qu'il existe un scénario où les versions correctives peuvent elle aussi être impactées : lorsqu'une mise à jour de GLPI a été effectuée, en décompressant l'archive par dessus les dossiers et fichiers existants.

Nous insistons sur le fait que cette manière de mettre à jour GLPI est une mauvaise pratique et outre le problème de sécurité actuel, vous expose à des bugs.

Nous vous invitons à ré-installer correctement votre GLPI comme indiqué dans la documentation :

  • à partir d'un dossier vide

  • copiez les fichiers de l'archive de la dernière version

  • récupérez vos dossiers `config/` et `files/` depuis l'ancienne instance.

Solutions de contournement pour traiter l'urgence de la RCE (cela ne corrige pas l'injection SQL) :

  • supprimez le fichier `vendor/htmlawed/htmlawed/htmLawedTest.php` (attention ne pas toucher au fichier `htmLawed.php` qui est légitime).

  • empêchez l'accès web au dossier `vendor/` en positionnant (dans le cas d'Apache par exemple) un `.htaccess` adéquat.

Si votre serveur a déjà été corrompu, il vous faut probablement repartir d'un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.


Besoin d'un support professionnel pour GLPI ? Pensez à GLPI Network ! https://glpi-project.org/fr/tarifs/

Connaissez-vous l'offre Cloud maintenue et supportée par l'équipe qui édite GLPI ?
Vous pouvez tester gratuitement pendant 45 jours ! https://glpi-network.cloud (ou plus si besoin)

Offline

Board footer

Powered by FluxBB