Nous avons publié des versions correctives GLPI le 14 Septembre 2022 :
- 9.5.9 : https://github.com/glpi-project/glpi/releases/download/9.5.9/glpi-9.5.9.tgz
- 10.0.3 : https://github.com/glpi-project/glpi/releases/download/10.0.3/glpi-10.0.3.tgz
Celles-ci corrigent deux failles de sécurité critiques : une Injection SQL (CVE-2022-35947), et une “Remote Code Execution” (CVE-2022-35914, faille dans la librairie tierce, htmlawed), cette dernière est massivement exploitée depuis le 3 Octobre 2022 pour executer du code sur les serveurs non sécurisés, disponibles sur internet, qui hébergent GLPI (les instances GLPI Network Cloud ne sont pas impactées).
Si vous n’êtes pas dans la dernière version 9.5.9 ou 10.0.3, vous devez impérativement mettre à jour vos instances selon la méthode recommandée (à partir d’un dossier vide, sans écraser les fichiers existants de GLPI).
Nous avons remarqué qu’il existe un scénario où les versions correctives peuvent elle aussi être impactées : lorsqu’une mise à jour de GLPI a été effectuée, en décompressant l’archive par dessus les dossiers et fichiers existants. Nous insistons sur le fait que cette manière de mettre à jour GLPI est une mauvaise pratique et outre le problème de sécurité actuel, vous expose à des bugs.
Nous vous invitons à ré-installer correctement votre GLPI comme indiqué dans la documentation :
- à partir d’un dossier vide
- copiez les fichiers de l’archive de la dernière version
- récupérez vos dossiers
config/etfiles/depuis l’ancienne instance.
Solutions de contournement pour traiter l’urgence de la RCE (cela ne corrige pas l’injection SQL) :
- supprimez le fichier
vendor/htmlawed/htmlawed/htmLawedTest.php(attention ne pas toucher au fichierhtmLawed.phpqui est légitime). - empêchez l’accès web au dossier
vendor/en positionnant (dans le cas d’Apache par exemple) un.htaccessadéquat.
Si votre serveur a déjà été corrompu, il vous faut probablement repartir d’un nouveau serveur, sur lequel vous importerez un dump SQL et les dossiers mentionnés plus haut.