par Polina Marishicheva | Jan 27, 2022 | Blog FR
Teclib’ est heureux d’annoncer la sortie de GLPI 9.5.7.
GLPI 9.5.7 version corrige plusieurs problèmes de sécurité récemment découverts. La mise à jour est fortement recommandée !
Vous pouvez télécharger GLPI 9.5.7 archive sur GitHub.
Vous trouverez ci-dessous la liste des problèmes de sécurité corrigés, dans cette version :
- Injection SQL à l’aide d’un formulaire d’administration CSS personnalisé
- XSS réfléchi à l’aide d’un bouton de rechargement
Voici également une courte liste des corrections de bug fixes importantes effectuées dans cette version :
- FIX missing mail headers in mail collector rules engine (#10337)
- FIX infinite loop when collecting mail attachments with the same name (#9667)
- FIX zero height images in mail collector (#10109)
- FIX duplicate ranking when rules are ordered (#9888)
- FIX anonymous ticket creation (#10320)
- FIX project cloning (#9964)
- and more
Le journal complet des modifications est disponible pour plus de détails.
Nous tenons à remercier toutes les personnes qui ont contribué à cette nouvelle version et toutes celle qui contribuent régulièrement au projet GLPI !
Besoin d’un accompagnement professionnel ? Consultez notre offre surhttps://services.glpi-network.com/ Découvrez les fonctionnalités GLPI : cliquez-ici
par Polina Marishicheva | Jan 14, 2022 | Blog FR, Exclusive plugins
Outils LDAP Plugin : ce plugin propose plusieurs outils liés aux annuaires LDAP déclarés dans GLPI.
Premier outil : tests de configuration LDAP
Effectue différents tests sur tous les annuaires LDAP déclarés dans GLPI :
- test si le flux TCP est ouvert depuis GLPI vers le nom d’hôte/port du serveur LDAP
- vérifier que le champ « BaseDN » est correctement rempli
- initier un « ldap_connect » pour valider le LDAP URI
- exécuter ou non une authentification LDAP BIND (avec utilisateur/mot de passe, ou certificat/clé TLS)
- effectuer une recherche LDAP Search (avec cn=*) et essayer de compter les premières entrées
- effectuer une recherche LDAP Search (avec filtre LDAP configuré) et essayer de compter les premières entrées
- obtenir et afficher tous les attributs LDAP disponibles sur la première entrée trouvée
Comment l’obtenir ? Si vous utilisez GLPI sur site, veuillez vous abonner à GLPI Network.
Test : dans GLPI Network Cloud
En savoir plus sur les autres fonctionnalités GLPI ? : cliquez-ici
par Polina Marishicheva | Jan 14, 2022 | Exclusive plugins
This plugin offer tools to help you comply with GDPR regulation. Click here to read documentation.
Cleaning inactive users
The main feature of this plugin is the automated cleaning or removal of inactive users.
There is two possible way of handling inactive users: – Cleaning the user data – Deleting the user
Scope restriction
The automated removal process can be limited to the given scopes: – All inactives users – Inactive users with no ongoing tickets – Inactive users with no tickets
The removal will be done through a standard GLPI automatic action that can be configured to run as often as you want.
How to get? If you use GLPI on premise, please subscribe to GLPI Network to get it.
Test: on GLPI Network Cloud
par Polina Marishicheva | Jan 10, 2022 | Actualités, Announcements, Blog FR, Formcreator
Formcreator 2.12.4 : Nous sommes heureux d’annoncer la version 2.12.4 des corrections de bogues de Formcreator. Lisez notre article de blog et regardez la video pour obtenir plus d’informations.
Bug Fixes Formcreator 2.12.4
- ajax calls converted into post
- convert GET requests to post
- redirection to wrong ticket in some cases (
- remove compiled css
- strict JS code triggers warnings
- form: PHP warning when displaying form’s historical
- form: php warning – unitialized var
- form: run conditions for admins
- form: store itemtype in DOM
- formanswer: loss of answers upon valdiation
- issue: better definition of comment search options
- issue: better redirection
- issue: redirection when multiple tickets
- ldapfield: non latin char escaping
- linker: inverted arguments in method call
- question: empty name section unavailable
- question: show error message on deletion failure
- question: show error message on deletion failure
- question: show error toast when editing a question fails
- section: order lost after section deletion
- targetticket: do not force request type
Fonctionnalités
- category: show parent label in back pseudo-item
par Polina Marishicheva | Déc 17, 2021 | Blog FR, Blog FR, En bref
Une vulnérabilité critique récemment révélée affectant Apache Log4j a été divulguée et enregistrée en tant que CVE-2021-44228. Log4j est un utilitaire de journalisation open source basé sur Java largement utilisé par les applications d’entreprise et les services cloud. En exploitant cette vulnérabilité, un attaquant distant pourrait prendre le contrôle du système affecté.
Nous tenons à assurer à tous les utilisateurs que le coeur de GLPI et ses plugins, écrits en PHP et n’utilisant pas Log4j, ne sont pas affectés par la vulnérabilité Log4Shell.
L’exploitation de cette vulnérabilité nécessite une machine virtuelle Java et la classe Java org.apache.logging.log4j.core.lookup.JndiLookup dans une version vulnérable. Aucun d’entre eux n’est inclus ou utilisé dans les distributions GLPI officielles.
Nous pouvons également vous assurer que :
- GLPI Android Agent (écrit en Java), n’utilise pas la librairie log4j, et n’est donc pas affecté par la vulnérabilité Log4Shell
- GLPI Agent (écrit en Perl), pas affecté par la vulnérabilité Log4Shell
Attention : cela n’empêche pas les couches/outils potentiellement en amont de GLPI (reverse-proxy, firewall, etc.), ou connectés à GLPI, dont nous n’avons pas connaissance dans votre contexte, d’être potentiellement impactés.
Par exemple, si vous avez un serveur Metabase connecté à GLPI, vous devez noter que Metabase (<0.41.4) est affecté par la vulnérabilité, et vous devriez donc le mettre à jour dès que possible !
Documentation:
- https://github.com/advisories/GHSA-jfh8-c2jp-5v3q
- https://github.com/NCSC-NL/log4shell/tree/main/software
- https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/
