Une nouvelle version de GLPI est disponible. v10.0.11

Cette version corrige quelques problèmes de sécurité qui ont été découverts récemment. La mise à jour est conseillée !

L’archive de GLPI version 10.0.11 est disponible sur GitHub.

Vous trouverez ci-dessous la liste des corrections de problèmes de securité corrigés dans cette version :

  • Injection SQL connectée (CVE-2023-43813)
  • Injection SQL à travers une requête d’agent d’inventaire (CVE-2023-46727)
  • Execution de code à distance via le formulaire de configuration d’un serveur LDAP avec PHP 7.4 (CVE-2023-46726)

A propos de ce dernier point, nous voulons rappeler que la version 7.4 de PHP est vraiment ancienne et n’est plus supportée par ses développeurs !
Vous devriez mettre à jour vers une version récente, au moins 8.2 (8.0 sera dépréciée à la fin de l’année et 8.1 ne recevra plus que des correctifs de sécurité).

De plus, voici une liste des principaux changements de cette version :

  • Amélioration de l’affichage des raisons d’attente
    divers correctifs LDAP (délai d’expiration, importation de lieux, scénarios de suppression/restauration)
    plusieurs correctifs d’inventaire (réconciliation des actifs non gérés, règles pour les téléphones, journaux de règles pour la découverte, stacks Cisco, suppression de la prise en main à distance)
    plusieurs améliorations de performances (chargement déféré de l’arborescence des entités, forte amélioration du chargement des acteurs, temps d’exécution de la liste des assets globales, suppression du cron Web, double appel ajax pour le chargement des onglets)
    mise en avant des exigences de sécurité sur la page d’installation/mise à jour. Certaines options comme les versions PHP, la configuration du dossier Web sont suggérées avec un visuel fort.

Voir le journal des changements complet pour plus de détails.

Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.

Cordialement.