Message important à propos de la sécurité (CVE-2022-35947, CVE-2022-35914) !

par | Oct 5, 2022 | Actualités, Blog FR

Nous avons publié des versions correctives GLPI le 14 Septembre 2022 :

Celles-ci corrigent deux failles de sécurité critiques : une Injection SQL (CVE-2022-35947), et une “Remote Code Execution” (CVE-2022-35914, faille dans la librairie tierce, htmlawed), cette dernière est massivement exploitée depuis le 3 Octobre 2022 pour executer du code sur les serveurs non sécurisés, disponibles sur internet, qui hébergent GLPI (les instances GLPI Network Cloud ne sont pas impactées).

Si vous n’êtes pas dans la dernière version 9.5.9 ou 10.0.3, vous devez impérativement mettre à jour vos instances selon la méthode recommandée (à partir d’un dossier vide, sans écraser les fichiers existants de GLPI).

Nous avons remarqué qu’il existe un scénario où les versions correctives peuvent elle aussi être impactées : lorsqu’une mise à jour de GLPI a été effectuée, en décompressant l’archive par dessus les dossiers et fichiers existants. Nous insistons sur le fait que cette manière de mettre à jour GLPI est une mauvaise pratique et outre le problème de sécurité actuel, vous expose à des bugs.

Nous vous invitons à ré-installer correctement votre GLPI comme indiqué dans la documentation :

  • à partir d’un dossier vide
  • copiez les fichiers de l’archive de la dernière version
  • récupérez vos dossiers config/ et files/ depuis l’ancienne instance.

Solutions de contournement pour traiter l’urgence de la RCE (cela ne corrige pas l’injection SQL) :

  • supprimez le fichier vendor/htmlawed/htmlawed/htmLawedTest.php (attention ne pas toucher au fichier htmLawed.php qui est légitime).
  • empêchez l’accès web au dossier vendor/ en positionnant (dans le cas d’Apache par exemple) un .htaccess adéquat.

Si votre serveur a déjà été corrompu, il vous faut probablement repartir d’un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.

Nouveau Silver Partenaire : HarPer Srl

par | Oct 3, 2022 | Actualités, Blog FR

Nous sommes heureux d’annoncer notre nouveau partenaire Silver en République dominicaine – Harper Srl.

Harper Srl est une société informatique dont l’activité principale consiste à fournir des solutions technologiques de cybersécurité à ses clients.

Ils accompagnent les entreprises tout au long de leur cycle de vie depuis l’installation de nouvelles infrastructures, le développement de nouveaux systèmes, la sécurisation de leurs données ou même leurs emplacements physiques. En outre, ils fournissent des conseils ou des recommandations pour la continuité des activités.

Parmi de nombreuses solutions, Harper Srl propose :

  • Pentesting, renforcement du contrôle d’accès, évaluation de la vulnérabilité, mise en œuvre d’améliorations de la sécurité de l’information.
  • Mise en place et dépannage des réseaux et infrastructures.
  • Développement d’applications desktop, web et mobiles.
  • Formations informatique, réseau et sécurité|Gestion de projet, Agile (Scrum, Kanban, etc.).

Site internet : https://www.har-per.com/

Nous sommes ravis que la solution GLPI ITSM soit de plus en plus représentée dans le monde entier et le service d’abonnement GLPI Network (notre offre de support pour les locaux – sécurisez votre infrastructure informatique) sera disponible pour davantage de clients via nos nouveaux partenaires.

Notre vaste réseau de partenaires est toujours ouvert à de nouvelles collaborations. Si vous souhaitez représenter l’un de nos produits dans votre pays, contactez-nous : https://glpi-project.org/contact/

Être partenaire, c’est :

  • Avoir un accès direct à l’expertise technologique de Teclib;
  • Obtenez des rabais spéciaux;
  • Accéder au support officiel,
  • De nombreux autres outils qui vous aideront à gagner plus de clients et à accroître votre réputation sur le marché en ajoutant l’ITSM open source à votre portefeuille.

Découvrez tous les avantages d’être partenaire ici :https://glpi-project.org/fr/partenaires-officiels/

Formcreator 2.13.1 – bugfixes

par | Sep 26, 2022 | Actualités, Blog FR

Formcreator 2.13.1 : cette version est compatible avec GLPI 10.0.

⚠️ Vous devez mettre à jour depuis une version stable précédente. La mise à niveau à partir d’une version de développement ou de test n’est pas prise en charge.

Bug Fixes

  • test d’existence inversé sur mise à jour du ticket (2acc5cd4)
  • consigner plus d’erreurs et mettre à jour la journalisation des erreurs obsolètes (ae28ed6d)
  • restaurer les redirections de page existantes dans la v2.12 (582f926c)
  • mettre à jour la journalisation des erreurs obsolètes (da8929e0)
  • abstractitiltarget: glpi 10.0.3 nécessitera une donnée avec une valeur valide (5f385bb8)
  • actorfield:valeur par défaut non enregistrée(c3baebbe)
  • actorfield: avertissement php (6d3e98d1)
  • checkboxesfield: remplacer div par p dans les réponses de checkbowes (9ef95343)
  • composite: L’avertissement php casse JSON si un ticket n’est pas généré (2108983c)
  • descriptionfield: mauvais rendu de forme (87a74058)
  • filefield: erreur php lors du passage du type de champ au fichier (a03c7a0a)
  • form: javascript (f05bc697)
  • form: liste sur la page d’accueil en libre-service (ba6d4a58)
  • form: variable indéfinie (169d2c8e)
  • form: l’url pour former des listes de réponses peut être invalide (6cd29e6d)
  • install: éviter l’échec de la modification de la table (4dadea8a)
  • install: méthode manquante dans la mise à niveau vers 2.13.1 (7e9cdcd5)
  • issue: problème non supprimé lorsque le tichet va à la corbeille (c977b1ca)
  • issue: problème de purge lors de la suppression du ticket associé (76444ecc)
  • issue: recréer lors de la restauration du ticket (2656e284)
  • item_targetticket: conversion uuid en ID (e9f326c0)
  • section: encodage du nom dans le concepteur et la forme rendue » (491dcb69)
  • targetticket: mauvais nom de constante (48dda4f3)
  • targetticket: incohérence de la structure du tableau (ff56f3f1)
  • targetticket: incohérence de la structure du tableau(892a83c3)
  • targetticket,targetchange: balises de la question ou balises spécifiques non enregistrées (ec08d95e)

Fonctionnalités

  • préparer la compatibilité avec PHP 8.2 (#2966) (4bb7f3c3)
  • formanswer,issue: afficher le titre dans l’en-tête de navigation (1878e4b0)
  • kb: présélectionner voir toutes les catégories (1b669d4f)

Aide / Contribution nécessaire
Mises à jour des paramètres régionaux : certaines langues n’ont pas de responsable ou sont en retard (beaucoup de contenu non traduit). Merci de contribuer sur Transifex.

Consultez le journal des modifications et téléchargez

Découvrez aussi toutes les fonctionnalités GLPI : https://glpi-project.org/fr/fonctionnalites/

Nouvelle version GLPI 10.0.3 disponible !

par | Sep 14, 2022 | Actualités, Blog FR

GLPI 10.0.3 disponible.

Cette version corrige plusieurs problèmes de sécurité critiques qui ont été découverts récemment. La mise à jour est fortement conseillée!

L’archive de GLPI version 10.0.3 est disponible sur GitHub.
Exceptionnellement, comme nous avons des problèmes de sécurité critiques qui affectent GLPI 9.5, nous publions aussi une archive GLPI 9.5.9.

Vous trouverez ci-dessous la liste des corrections de problemes de securité corrigés dans cette version :

  • XSS via l’API d’enregistrement (CVE-2022-35945)
  • Fuite de données sensibles à travers la page d’authentification (CVE-2022-31143)
  • XSS stockée via la recherche globale (CVE-2022-31187)
  •   Injection de commande par l’intermédiaire d’un script d’une bibliothèque tierce (CVE-2022-35914)
  • Injection SQL via le contrôleur de plugins (CVE-2022-35946)
  •   Authentification par injection SQL (CVE-2022-35947)
  • SSRF aveugle dans les flux RSS et le planning (CVE-2022-36112)

De plus, voici une liste des principaux changements de cette version :

  • Gestion des droits plus précise pour l’inventaire (#12610)
  • Affichage de la dernière donnée inventoriée au niveau des champs verrouillés (#12602)
  • Support de l’ajout d’ordinateurs en temps que machines virtuelles via les règles (#12572)
  • Délégation de la sécurité des cookies à l’administrateur système (#12302)
  • Prévention de l’échec du collecteur quand l’entête d’un email est invalide (#12232)
  • Nombreux correctifs sur l’inventaire réseau

Voir le journal des changements complets pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Découvrez toutes les fonctionnalités GLPI maintenant : https://glpi-project.org/fr/fonctionnalites/

Cordialement.

Nouveau partenaire Silver : ANC Technology Services SA (Amvix).

par | Sep 5, 2022 | Blog FR

Nous sommes heureux d’annoncer notre nouveau partenaire Silver au Costa Rica – ANC Technology Services SA (Amvix).

ANC Technology Services SA (Amvix) est une entreprise avec plus de 14 ans d’expérience sur le marché. Ils sont spécialisés dans les technologies OpenSource pour la mise en place de solutions réseaux, sécurité, Internet et CRM.

Ils apportent un soutien dans la gestion préventive, le conseil et la mise à l’échelle des infrastructures. Ils abordent les opportunités d’affaires offertes par les nouvelles technologies informatiques.

Parmi de nombreuses solutions, ANC Technology Services SA (Amvix) propose :
• Conseil,
• Installation et configuration de serveurs Linux,
• Virtualisation des postes de travail et des applications,
• Soutien technique.

Site internet : http://www.amvix.com/

Nous sommes ravis que la solution GLPI ITSM soit de plus en plus représentée dans le monde entier et le service d’abonnement GLPI Network (offre de support pour les locaux et sécurisation de votre infrastructure informatique) sera disponible pour davantage de clients via nos nouveaux partenaires.

Notre vaste réseau de partenaires est toujours ouvert à de nouvelles collaborations. Si vous souhaitez représenter l’un de nos produits dans votre pays, contactez-nous : https://glpiproject.org/contact/

Être partenaire, c’est :
• Avoir un accès direct à l’expertise technologique de Teclib,
• Obtenez des rabais spéciaux,
• Accéder au support officiel,
• De nombreux autres outils qui vous aideront à gagner plus de clients et à accroître votre réputation sur le marché en ajoutant l’ITSM Open Source à votre portefeuille.

Nous proposons des services professionnels GLPI via nos partenaires-intégrateurs officiels. Veuillez noter que le service n’est disponible que pour les clients ayant une souscription GLPI Network ou GLPI Network Cloud. Tous les services partenaires sont disponibles moyennant des frais supplémentaires.

Découvrez tous les avantages d’être partenaire ici : https://glpi-project.org/fr/partenaires-officiels/

Formcreator 2.13.0 – version définitive !

par | Août 23, 2022 | Actualités, Blog FR

Formcreator 2.13.0 version définitive : est compatible avec GLPI 10 uniquement.

Mettez à jour cette nouvelle version, qui est définitive !

revue de la documentation et mises à jour

Bug Fixes

  • cannot delete a ticket from service catalog (acec9bb8)
  • abstractitiltarget: alternative email lost if no requester user (78fd8450)
  • abstracttarget: uuid should not be updated (b1e492d3)
  • checkboxesfield: avoid HTML br tag (c3a60bbb)
  • condition: compatibility with Advanced forms validation (6685b943)
  • descriptinfield: conversion to target requires escaping (b79cfa95)
  • filefield: mandatory check may cause exception (3f711a54)
  • form: PHP warning (844ef96c)
  • form: bad URL when using advanced form validation plugin (adb9fba5)
  • formanswer: grid style updated for current version of gridstack (85b6a686)
  • formanswer: select inherited class if needed (955dc969)
  • formanswer: update gridstack css (70deaa06)
  • glpiselectfield: missing entity restrict (40c9ab73)
  • install: prevent useless warnings (001d12f5)
  • install: use modern settings for tables (f04e4181)
  • issue: remove duplicate item in status dropdown (27f9f313)
  • ldapselectfield: log LDAP error instead of showing it to user (e170dc6f)
  • ldapselectfield: no translation for items (d170c79c)
  • targetticket: prevent exception in inconsistent target ticket (ba6ed88e)
  • textarea: on change event broken (9fb70edb)
  • textarea: rn chars added between lines (66571b80)
  • textarea, entityconfig: embedded image question description (#2901) (0d78db1a)
  • textareafield: embedded image upload broken (d58075cd)
  • textareafield: missing escape before compare (ba78e935)

Fonctionnalités

  • formanswer: order formanswers by date desc (7fdeda51)
  • ldapselectfield: lazy loading (bffcb5b7)

Aide / Contribution nécessaire
Mises à jour des paramètres régionaux : certaines langues n’ont pas de mainteneur ou sont en retard (beaucoup de contenu non traduit). Merci de contribuer sur Transifex.

Consultez le journal des modifications et téléchargez

Cliquez ici

Découvrez encore plus de fonctionnalités GLPI : https://glpi-project.org/fr/fonctionnalites/