Message important à propos de la sécurité (CVE-2022-35947, CVE-2022-35914) !

par | Oct 5, 2022 | Actualités, Blog FR

Nous avons publié des versions correctives GLPI le 14 Septembre 2022 :

Celles-ci corrigent deux failles de sécurité critiques : une Injection SQL (CVE-2022-35947), et une “Remote Code Execution” (CVE-2022-35914, faille dans la librairie tierce, htmlawed), cette dernière est massivement exploitée depuis le 3 Octobre 2022 pour executer du code sur les serveurs non sécurisés, disponibles sur internet, qui hébergent GLPI (les instances GLPI Network Cloud ne sont pas impactées).

Si vous n’êtes pas dans la dernière version 9.5.9 ou 10.0.3, vous devez impérativement mettre à jour vos instances selon la méthode recommandée (à partir d’un dossier vide, sans écraser les fichiers existants de GLPI).

Nous avons remarqué qu’il existe un scénario où les versions correctives peuvent elle aussi être impactées : lorsqu’une mise à jour de GLPI a été effectuée, en décompressant l’archive par dessus les dossiers et fichiers existants. Nous insistons sur le fait que cette manière de mettre à jour GLPI est une mauvaise pratique et outre le problème de sécurité actuel, vous expose à des bugs.

Nous vous invitons à ré-installer correctement votre GLPI comme indiqué dans la documentation :

  • à partir d’un dossier vide
  • copiez les fichiers de l’archive de la dernière version
  • récupérez vos dossiers config/ et files/ depuis l’ancienne instance.

Solutions de contournement pour traiter l’urgence de la RCE (cela ne corrige pas l’injection SQL) :

  • supprimez le fichier vendor/htmlawed/htmlawed/htmLawedTest.php (attention ne pas toucher au fichier htmLawed.php qui est légitime).
  • empêchez l’accès web au dossier vendor/ en positionnant (dans le cas d’Apache par exemple) un .htaccess adéquat.

Si votre serveur a déjà été corrompu, il vous faut probablement repartir d’un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.

Nouveau Silver Partenaire : HarPer Srl

par | Oct 3, 2022 | Actualités, Blog FR

Nous sommes heureux d’annoncer notre nouveau partenaire Silver en République dominicaine – Harper Srl.

Harper Srl est une société informatique dont l’activité principale consiste à fournir des solutions technologiques de cybersécurité à ses clients.

Ils accompagnent les entreprises tout au long de leur cycle de vie depuis l’installation de nouvelles infrastructures, le développement de nouveaux systèmes, la sécurisation de leurs données ou même leurs emplacements physiques. En outre, ils fournissent des conseils ou des recommandations pour la continuité des activités.

Parmi de nombreuses solutions, Harper Srl propose :

  • Pentesting, renforcement du contrôle d’accès, évaluation de la vulnérabilité, mise en œuvre d’améliorations de la sécurité de l’information.
  • Mise en place et dépannage des réseaux et infrastructures.
  • Développement d’applications desktop, web et mobiles.
  • Formations informatique, réseau et sécurité|Gestion de projet, Agile (Scrum, Kanban, etc.).

Site internet : https://www.har-per.com/

Nous sommes ravis que la solution GLPI ITSM soit de plus en plus représentée dans le monde entier et le service d’abonnement GLPI Network (notre offre de support pour les locaux – sécurisez votre infrastructure informatique) sera disponible pour davantage de clients via nos nouveaux partenaires.

Notre vaste réseau de partenaires est toujours ouvert à de nouvelles collaborations. Si vous souhaitez représenter l’un de nos produits dans votre pays, contactez-nous : https://glpi-project.org/contact/

Être partenaire, c’est :

  • Avoir un accès direct à l’expertise technologique de Teclib;
  • Obtenez des rabais spéciaux;
  • Accéder au support officiel,
  • De nombreux autres outils qui vous aideront à gagner plus de clients et à accroître votre réputation sur le marché en ajoutant l’ITSM open source à votre portefeuille.

Découvrez tous les avantages d’être partenaire ici :https://glpi-project.org/fr/partenaires-officiels/

Formcreator 2.13.1 – bugfixes

par | Sep 26, 2022 | Actualités, Blog FR

Formcreator 2.13.1 : cette version est compatible avec GLPI 10.0.

⚠️ Vous devez mettre à jour depuis une version stable précédente. La mise à niveau à partir d’une version de développement ou de test n’est pas prise en charge.

Bug Fixes

  • test d’existence inversé sur mise à jour du ticket (2acc5cd4)
  • consigner plus d’erreurs et mettre à jour la journalisation des erreurs obsolètes (ae28ed6d)
  • restaurer les redirections de page existantes dans la v2.12 (582f926c)
  • mettre à jour la journalisation des erreurs obsolètes (da8929e0)
  • abstractitiltarget: glpi 10.0.3 nécessitera une donnée avec une valeur valide (5f385bb8)
  • actorfield:valeur par défaut non enregistrée(c3baebbe)
  • actorfield: avertissement php (6d3e98d1)
  • checkboxesfield: remplacer div par p dans les réponses de checkbowes (9ef95343)
  • composite: L’avertissement php casse JSON si un ticket n’est pas généré (2108983c)
  • descriptionfield: mauvais rendu de forme (87a74058)
  • filefield: erreur php lors du passage du type de champ au fichier (a03c7a0a)
  • form: javascript (f05bc697)
  • form: liste sur la page d’accueil en libre-service (ba6d4a58)
  • form: variable indéfinie (169d2c8e)
  • form: l’url pour former des listes de réponses peut être invalide (6cd29e6d)
  • install: éviter l’échec de la modification de la table (4dadea8a)
  • install: méthode manquante dans la mise à niveau vers 2.13.1 (7e9cdcd5)
  • issue: problème non supprimé lorsque le tichet va à la corbeille (c977b1ca)
  • issue: problème de purge lors de la suppression du ticket associé (76444ecc)
  • issue: recréer lors de la restauration du ticket (2656e284)
  • item_targetticket: conversion uuid en ID (e9f326c0)
  • section: encodage du nom dans le concepteur et la forme rendue » (491dcb69)
  • targetticket: mauvais nom de constante (48dda4f3)
  • targetticket: incohérence de la structure du tableau (ff56f3f1)
  • targetticket: incohérence de la structure du tableau(892a83c3)
  • targetticket,targetchange: balises de la question ou balises spécifiques non enregistrées (ec08d95e)

Fonctionnalités

  • préparer la compatibilité avec PHP 8.2 (#2966) (4bb7f3c3)
  • formanswer,issue: afficher le titre dans l’en-tête de navigation (1878e4b0)
  • kb: présélectionner voir toutes les catégories (1b669d4f)

Aide / Contribution nécessaire
Mises à jour des paramètres régionaux : certaines langues n’ont pas de responsable ou sont en retard (beaucoup de contenu non traduit). Merci de contribuer sur Transifex.

Consultez le journal des modifications et téléchargez

Découvrez aussi toutes les fonctionnalités GLPI : https://glpi-project.org/fr/fonctionnalites/

Nouvelle version GLPI 10.0.3 disponible !

par | Sep 14, 2022 | Actualités, Blog FR

GLPI 10.0.3 disponible.

Cette version corrige plusieurs problèmes de sécurité critiques qui ont été découverts récemment. La mise à jour est fortement conseillée!

L’archive de GLPI version 10.0.3 est disponible sur GitHub.
Exceptionnellement, comme nous avons des problèmes de sécurité critiques qui affectent GLPI 9.5, nous publions aussi une archive GLPI 9.5.9.

Vous trouverez ci-dessous la liste des corrections de problemes de securité corrigés dans cette version :

  • XSS via l’API d’enregistrement (CVE-2022-35945)
  • Fuite de données sensibles à travers la page d’authentification (CVE-2022-31143)
  • XSS stockée via la recherche globale (CVE-2022-31187)
  •   Injection de commande par l’intermédiaire d’un script d’une bibliothèque tierce (CVE-2022-35914)
  • Injection SQL via le contrôleur de plugins (CVE-2022-35946)
  •   Authentification par injection SQL (CVE-2022-35947)
  • SSRF aveugle dans les flux RSS et le planning (CVE-2022-36112)

De plus, voici une liste des principaux changements de cette version :

  • Gestion des droits plus précise pour l’inventaire (#12610)
  • Affichage de la dernière donnée inventoriée au niveau des champs verrouillés (#12602)
  • Support de l’ajout d’ordinateurs en temps que machines virtuelles via les règles (#12572)
  • Délégation de la sécurité des cookies à l’administrateur système (#12302)
  • Prévention de l’échec du collecteur quand l’entête d’un email est invalide (#12232)
  • Nombreux correctifs sur l’inventaire réseau

Voir le journal des changements complets pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Découvrez toutes les fonctionnalités GLPI maintenant : https://glpi-project.org/fr/fonctionnalites/

Cordialement.

Formcreator 2.13.0 – version définitive !

par | Août 23, 2022 | Actualités, Blog FR

Formcreator 2.13.0 version définitive : est compatible avec GLPI 10 uniquement.

Mettez à jour cette nouvelle version, qui est définitive !

revue de la documentation et mises à jour

Bug Fixes

  • cannot delete a ticket from service catalog (acec9bb8)
  • abstractitiltarget: alternative email lost if no requester user (78fd8450)
  • abstracttarget: uuid should not be updated (b1e492d3)
  • checkboxesfield: avoid HTML br tag (c3a60bbb)
  • condition: compatibility with Advanced forms validation (6685b943)
  • descriptinfield: conversion to target requires escaping (b79cfa95)
  • filefield: mandatory check may cause exception (3f711a54)
  • form: PHP warning (844ef96c)
  • form: bad URL when using advanced form validation plugin (adb9fba5)
  • formanswer: grid style updated for current version of gridstack (85b6a686)
  • formanswer: select inherited class if needed (955dc969)
  • formanswer: update gridstack css (70deaa06)
  • glpiselectfield: missing entity restrict (40c9ab73)
  • install: prevent useless warnings (001d12f5)
  • install: use modern settings for tables (f04e4181)
  • issue: remove duplicate item in status dropdown (27f9f313)
  • ldapselectfield: log LDAP error instead of showing it to user (e170dc6f)
  • ldapselectfield: no translation for items (d170c79c)
  • targetticket: prevent exception in inconsistent target ticket (ba6ed88e)
  • textarea: on change event broken (9fb70edb)
  • textarea: rn chars added between lines (66571b80)
  • textarea, entityconfig: embedded image question description (#2901) (0d78db1a)
  • textareafield: embedded image upload broken (d58075cd)
  • textareafield: missing escape before compare (ba78e935)

Fonctionnalités

  • formanswer: order formanswers by date desc (7fdeda51)
  • ldapselectfield: lazy loading (bffcb5b7)

Aide / Contribution nécessaire
Mises à jour des paramètres régionaux : certaines langues n’ont pas de mainteneur ou sont en retard (beaucoup de contenu non traduit). Merci de contribuer sur Transifex.

Consultez le journal des modifications et téléchargez

Cliquez ici

Découvrez encore plus de fonctionnalités GLPI : https://glpi-project.org/fr/fonctionnalites/

Nouveau partenaire Silver : KING ICT

par | Juil 25, 2022 | Actualités, Blog FR

GLPI partenaires : Nous sommes heureux d’annoncer notre nouveau Partenaire Silver en Croatie – KING ICT.

KING ICT est un intégrateur de systèmes spécialisé dans les solutions TIC avancées qui influent positivement dans le business et la société. Basés sur les nouvelles technologies et le cloud.

Dans le monde de la technologie, c’est un principe de construire des produits numériques prenant qui peuvent être utilisés dans les smartphones.

Ils facilitent les opérations et créent de la valeur ajoutée pour leurs clients, animées par la volonté de construire ensemble un avenir connecté et numérique. Leurs clients viennent de différentes horizons, telles que les transports, les énergies, l’agricultures, la santé, l’éducation, la justice, le commerce, la finance et les télécommunications.

Parmi de nombreuses solutions, KING ICT propose :

• Développement et gestion d’application;
• Applications Métier & Conseil;
• Infrastructure informatique moderne;
• La cyber-sécurité;
• Services informatiques et gestion du lieu de travail;
• Systèmes de sécurité physique.

Website: https://king-ict.com/

Nous sommes ravis que la solution GLPI ITSM soit de plus en plus représentée dans le monde entier et notre service d’abonnement GLPI Network (notre support offre la garantie de l’éditeur, afin que les utilisateurs puissent être sûrs d’obtenir une aide professionnelle, des corrections de bugs et un engagement). Cette offre sera disponible pour davantage de clients via nos nouveaux partenaires.

Notre vaste réseau de partenaires est toujours ouvert à de nouvelles collaborations. Si vous souhaitez représenter l’un de nos produits dans votre pays, contactez-nous: https://glpi-project.org/fr/contact/

Être partenaire, c’est :
• Avoir un accès direct à l’expertise technologique de Teclib;
• Obtenez des remises spéciaux;
• Accédez au support officiel;
• De nombreux autres outils qui vous aideront à gagner plus de clients et à accroître votre
réputation sur le marché en ajoutant l’ITSM Open Source à votre portefeuille.

Découvrez tous les avantages d’être partenaire ici : https://glpi-project.org/fr/partenairesofficiels/