Mercredi 24 avril 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI : 10.0.15. Au-delà de corriger quelques bugs, cette mise à jour corrige également deux failles de sécurité ! Faisons le point.
Deux vulnérabilités de type "injection SQL" ont été découvertes dans l'application GLPI. Elles sont toutes les deux considérées comme importantes :
CVE-2024-31456 : injection SQL à partir de la fonction de recherche dans la carte (nécessite d'être authentifié)
CVE-2024-29889 : prise de contrôle d'un compte via une injection SQL présente dans la fonction de recherche sauvegardée
Une injection SQL peut permettre à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données dans l'application, et donc, de compromettre l'application.
Les versions 10.0.0 à 10.0.14 de GLPI sont affectés par ces vulnérabilités. Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via cette page, et consulter l'article publié sur le site de Teclib pour en savoir plus sur cette nouvelle version.
Les dernières mises à jour de GLPI
Voici un historique des dernières versions mineures les plus récentes de GLPI 10, avec de nombreuses failles de sécurité découvertes et corrigées :
GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
GLPI 10.0.13- Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
GLPI 10.0.11 - Sortie le 11 décembre 2023 - Cette version corrige 3 failles de sécurité
GLPI 10.0.10 - Sortie le 25 septembre 2023 - Cette version corrige 10 failles de sécurité
Comment effectuer la mise à jour de GLPI ?
Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :
Dans cet article, qui ne va pas vraiment être un tutoriel, mais plutôt un guide pour vous aidez à passer de GLPI 9.5.X à GLPI 10.0.X. Au moment de la rédaction de ce guide en 2024, cela fait maintenant presque 2 ans que GLPI 10 est sortie. Il y a encore beaucoup d’organisation qui n’ont ...
Présentation Dans ce tutoriel, je vais vous expliquer comment configurer l’authentification dans GLPI avec Keycloak en utilisant OpenID. Pour utiliser l’authentification unique avec Keycloak, nous allons avoir besoin d’installer un plugin supplémentaire non officiel, le plugin est disponible sur Github. Téléchargement et installation du plugin Le plus compliqué pour ce tutoriel a été de trouver ...
Présentation Dans ce tutoriel, je vais vous expliquer comment lié GLPI 10 avec un annuaire Active Directory pour permettre aux utilisateurs de se connecter avec leur compte du domaine. Cette liaison va permettre de synchroniser les utilisateurs dans GLPI, si vous utilisez un collecteur de courriels, cela permet de provisionner les comptes utilisateurs et permet ...
Dans ce tutoriel, nous allons avoir comment configurer l'authentification LDAP de GLPI pour pouvoir se connecter à l'application GLPI à partir des comptes utilisateurs présents dans un annuaire Active Directory. Ainsi, un utilisateur pourra accéder à GLPI à l'aide de son nom d'utilisateur et son mot de passe habituel (puisque ce seront les informations de son compte dans l'Active Directory).
GLPI propose nativement un modèle d'authentification LDAP, ce qui lui permet de s'appuyer sur un annuaire de comptes externe, comme l'Active Directory de Microsoft. Il faut savoir que les comptes utilisateurs de l'Active Directory seront importés dans la base de données de GLPI, grâce à un processus de synchronisation. Lorsqu'un utilisateur Active Directory se connecte pour la première fois, son compte est créé dans GLPI. Avant cela, il n'est pas visible, sauf si vous décidez d'effectuer un "import en masse" des comptes AD dans GLPI.
Avant de passer à la configuration, voici quelques informations sur l'environnement utilisé.
Pour cette démonstration, le domaine Active Directory "it-connect.local" sera utilisé et le contrôleur de domaine SRV-ADDS-02 sera utilisé. Ce serveur dispose de l'adresse IP "10.10.100.11" et la connexion sera effectuée en LDAP, sur le port par défaut (389).
- Le compte utilisateur qui sera utilisé comme "connecteur" pour permettre à GLPI de se connecter à l'Active Directory se nomme "Sync_GLPI". Il est stocké dans l'unité d'organisation "Connecteurs" de l'annuaire (voir image ci-dessous). Il s'agit d'un compte utilisateur standard, sans aucun droit particulier sur l'annuaire Active Directory. Faites-moi plaisir : n'utilisez pas de compte Administrateur.
- Tous les utilisateurs qui doivent pouvoir se connecter à GLPI à l'aide de leur compte Active Directory sont stockés dans l'unité d'organisation "Personnel" visible ci-dessous. Elle correspond à ce que l'on appelle la "Base DN" vis-à-vis du connecteur LDAP de GLPI. Les autres utilisateurs ne pourront pas se connecter. En fait, ce n'est pas utile de mettre la racine du domaine comme base DN : essayez de restreindre autant que possible pour limiter la découverte de l'annuaire Active Directory au strict nécessaire.
- Les utilisateurs de l'Active Directory pourront se connecter à GLPI à l'aide de leur identifiant correspondant à l'attribut "UserPrincipalName" (mis en évidence, en jaune, sur l'image ci-dessous). Cet identifiant, sous la forme "identifiant + nom de domaine", leur permettra se connecter à GLPI avec un identifiant qui correspond à leur e-mail. L'alternative consisterait à utiliser l'attribut "SamAccountName" (soit l'identifiant sous la forme "DOMAINE\identifiant").
Voilà, maintenant, nous allons pouvoir dérouler la configuration !
II. Installer l'extension LDAP de PHP
L'extension LDAP de PHP doit être installée sur votre serveur pour que GLPI soit capable de communiquer avec votre serveur contrôleur de domaine Active Directory (ou tout autre annuaire LDAP).
Connectez-vous à votre serveur GLPI et exécutez les deux commandes suivantes pour mettre à jour le cache des paquets et procéder à l'installation de l'extension.
sudo apt-get update
sudo apt-get install php-ldap
Cette extension sera installée et activée dans la foulée. Vous n'avez pas besoin de relancer le serveur.
III. Ajouter un annuaire LDAP dans GLPI
Désormais, nous allons ajouter notre annuaire Active Directory à GLPI. Connectez-vous à GLPI avec un compte administrateur, puis dans le menu "Configuration", cliquez sur "Authentification".
Au centre de l'écran, cliquez sur "Annuaire LDAP".
Puis, cliquez sur le bouton "Ajouter".
Un formulaire s'affiche à l'écran. Comment le renseigner ? À quoi correspondent tous ces champs ? C'est que nous allons voir ensemble.
Nom : le nom de cet annuaire LDAP, vous pouvez utiliser un nom convivial, ce n'est pas obligatoirement le nom du domaine, ni le nom du serveur.
Serveur par défaut : faut-il s'appuyer sur ce serveur par défaut pour l'authentification LDAP ? Il ne peut y avoir qu'un seul serveur LDAP défini par défaut.
Actif : nous allons indiquer "Oui", sinon ce sera déclaré, mais non utilisé.
Serveur : adresse IP du contrôleur de domaine à interroger. Avec le nom DNS, cela ne semble pas fonctionner (malheureusement).
Port : 389, qui est le port par défaut du protocole LDAP. Si vous utilisez TLS, il faudra le préciser à postériori, dans l'onglet "Informations avancées", du nouveau serveur LDAP.
Filtre de connexion : requête LDAP pour rechercher les objets dans l'annuaire Active Directory. Généralement, nous faisons en sorte de récupérer les objets utilisateurs ("objectClass=user") en prenant uniquement les utilisateurs actifs (via un filtre sur l'attribut UserAccountControl).
BaseDN : où faut-il se positionner dans l'annuaire pour rechercher les utilisateurs ? Ce n'est pas nécessaire la racine du domaine, tout dépend comment est organisé votre annuaire et où se situent les utilisateurs qui doivent pouvoir se connecter. Il faut indiquer le DistinguishedName de l'OU.
Utiliser bind : à positionner sur "Oui" pour du LDAP classique (sans TLS)
DN du compte : le nom du compte à utiliser pour se connecter à l'Active Directory. En principe, vous ne pouvez pas utiliser de connexion anonyme ! Ici, il ne faut pas indiquer uniquement le nom du compte, mais la valeur de son attribut DistinguishedName.
Mot de passe du compte : le mot de passe du compte renseigné ci-dessus
Champ de l'identifiant : dans l'Active Directory, quel attribut doit être utilisé comme identifiant de connexion pour le futur compte GLPI ? Généralement, UserPrincipalName ou SamAccountName, selon vos besoins.
Champ de synchronisation : GLPI a besoin d'un champ sur lequel s'appuyer pour synchroniser les objets. Ici, nous allons utiliser l'objectGuid de façon à avoir une valeur unique pour chaque utilisateur. Ainsi, si un utilisateur est modifié dans l'Active Directory, GLPI pourra se repérer grâce à cet attribut qui lui n'évoluera pas (sauf si le compte est supprimé puis recréé dans l'AD).
Ci-dessous, la configuration utilisée pour cette démonstration et qui correspond à la "configuration cible" évoquée précédemment.
Nom : Active Directory - it-connect.local
Serveur par défaut : Oui
Actif : Oui
Serveur : 10.10.100.11
Port : 389
Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN : OU=Personnel,DC=it-connect,DC=local
Utiliser bind : Oui
DN du compte : CN=Sync_GLPI,OU=Connecteurs,OU=Tiering,OU=IT,DC=it-connect,DC=local
Mot de passe du compte : Mot de passe du compte "Sync_GLPI"
Champ de l'identifiant : userprincipalname
Champ de synchronisation : objectguid
Quand votre configuration est prête, cliquez sur "Ajouter".
Dans la foulée, GLPI va effectuer un test de connexion LDAP et vous indiquer s'il est parvenu, ou non, à se connecter à votre annuaire. Si ce n'est pas le cas (comme moi, la première fois), cliquez sur le nom de votre annuaire, vérifiez la configuration, puis retournez dans "Tester" sur la gauche afin de lancer un nouveau test. Pour ma part, le problème venait du champ "Serveur" : j'avais mis le nom DNS du serveur à la place de l'adresse IP, mais cela ne fonctionnait pas. Pourtant, mon serveur GLPI parvient bien à résoudre le nom DNS.
Par ailleurs, vous pouvez explorer les différents onglets : Utilisateurs, Groupes, Réplicats, etc... Pour affiner la configuration. L'onglet "Utilisateurs" est intéressant pour configurer le mappage entre les champs d'une fiche utilisateur dans GLPI et les attributs d'un compte dans l'Active Directory. Quant à l'onglet "Réplicats", vous pouvez l'utiliser pour déclarer un ou plusieurs contrôleurs de domaine "de secours" à contacter si le serveur principal n'est plus joignable.
IV. Tester la connexion Active Directory
Si GLPI valide la connexion à votre annuaire Active Directory, vous pouvez tenter de vous authentifier à l'application avec un compte utilisateur. Pour ma part, c'est l'utilisateur Guy Mauve qui va servir de cobaye. Son login GLPI sera donc "guy.mauve@it-connect.tech" puisque je m'appuie sur l'attribut UserPrincipalName. Pour le mot de passe, je dois indiquer celui de son compte Active Directory.
Remarque : la source d'authentification doit être l'Active Directory.
Voilà, l'authentification fonctionne ! L'utilisateur a pu se connecter avec son compte Active Directory et il hérite du rôle "Self-service".
Dans le même temps, à partir du compte admin de GLPI, je peux remarquer la présence d'un nouveau compte utilisateur dont l'identifiant est "guy.mauve@it-connect.tech" ! GLPI a également récupéré le nom, le prénom et l'adresse e-mail à partir de différents attributs de l'objet LDAP.
V. Forcer une synchronisation Active Directory
A partir de GLPI, vous pouvez forcer une synchronisation LDAP de façon à mettre à jour les comptes dans GLPI "liés" à des comptes Active Directory, mais aussi pour importer en masse tous les comptes des utilisateurs Active Directory. Ceci vous évite d'attendre la première connexion et vous permet de préparer le compte : attribution du bon rôle, etc.
Cliquez sur "Administration" dans le menu, puis "Utilisateurs". Ici, vous avez accès au bouton "Liaison annuaire LDAP".
Vous avez ensuite le choix entre deux actions différentes, selon vos besoins.
Si vous cliquez sur "Importation de nouveaux utilisateurs", vous pourrez importer en masse les comptes dans l'Active Directory. Il vous suffit de lancer une recherche, de sélectionner les comptes à importer et de lancer l'import grâce au bouton "Actions".
Remarque : vous pouvez aussi importer des groupes Active Directory. Pour cela, suivez la même procédure, mais en allant dans "Groupes" sous "Administration".
VI. Conclusion
En suivant ce tutoriel, vous devriez être en mesure d'importer les comptes utilisateurs d'un annuaire Active Directory dans GLPI, pour faciliter la connexion de vos utilisateurs. Sachez que si un utilisateur change son mot de passe dans l'Active Directory, ce n'est pas un problème : GLPI vérifie les informations lors de la connexion.
Dans cet article, qui ne va pas vraiment être un tutoriel, mais plutôt un guide pour vous aidez à passer de GLPI 9.5.X à GLPI 10.0.X. Au moment de la rédaction de ce guide en 2024, cela fait maintenant presque 2 ans que GLPI 10 est sortie. Il y a encore beaucoup d’organisation qui n’ont ...
Présentation Dans ce tutoriel, je vais vous expliquer comment configurer l’authentification dans GLPI avec Keycloak en utilisant OpenID. Pour utiliser l’authentification unique avec Keycloak, nous allons avoir besoin d’installer un plugin supplémentaire non officiel, le plugin est disponible sur Github. Téléchargement et installation du plugin Le plus compliqué pour ce tutoriel a été de trouver ...
Si vous déployez la solution GLPI dans votre entreprise, vous devez effectuer un suivi régulier des mises à jour. En effet, des mises à jour sont publiées régulièrement, et au-delà d'apporter de nouvelles fonctionnalités, certaines d'entres elles corrigent des failles de sécurité. Mais, alors, comment effectuer la mise à jour de GLPI ? Sachez que dans ce tutoriel, nous allons apprendre à mettre à jour GLPI !
Dans le cas présent, nous allons effectuer une mise à jour de GLPI 10.0.10 vers GLPI 10.0.12, qui justement, est une mise à jour de sécurité. Il s'agit de l'installation d'une mise à jour mineure, mais à chaque fois, les précautions à prendre sont identiques. Pour installer la version 10.0.14, qui est la dernière version en date, la procédure est identique.
Pour suivre les mises à jour de GLPI, vous pouvez consulter cette page :
Remarque : si vous envisagez d'effectuer une mise à jour majeure sur votre serveur GLPI, par exemple, pour passer de GLPI 9.5 à GLPI 10, vérifiez au préalable si les extensions que vous utilisez sont bien prises en charge par la nouvelle version. Si vous êtes dans ce cas, sachez que le plugin Fusion Inventory est pris en charge uniquement jusqu'à la version 10.0.3 de GLPI. Ensuite, vous devez passer sur l'agent GLPI officiel, qui est un fort de Fusion Inventory.
II. Quelle est ma version de GLPI ?
Pour savoir quelle version de GLPI vous utilisez, vous devez vous connecter sur l'interface Web de GLPI, puis cliquez sur votre avatar en haut à droite. Dans le menu qui apparaît, cliquez sur "À propos". Une fenêtre va apparaître et elle indique explicitement la version de GLPI que vous utilisez. Avant la version 10 de GLPI, la version était indiquée en bas à droite de la fenêtre.
III. Activer le mode maintenance de GLPI
GLPI 10 intègre un mode maintenance que vous pouvez activer avant d'effectuer la mise à jour. Ceci évite que les utilisateurs ou les techniciens cherchent à utiliser GLPI pendant cette période.
A partir de la ligne de commande de votre serveur GLPI, positionnez-vous dans le répertoire d'installer de GLPI (ici "/var/www/glpi") et exécutez la commande suivante :
cd /var/www/glpi
sudo php bin/console glpi:maintenance:enable
Si vous retournez sur GLPI, en mode web, vous allez obtenir ce message :
Même si le mode maintenance est actif, vous pouvez accéder à GLPI en précisant ceci dans l'URL :
Une fois la mise à jour effectuée, nous verrons comment désactiver ce mode maintenance.
IV. Sauvegarder les données
Avant de mettre à jour GLPI, vous devez impérativement sauvegarder vos données. S'il s'agit d'une machine virtuelle, vous pouvez utiliser votre outil de sauvegarde habituelle pour déclencher une sauvegarde avant de procéder à la mise à jour GLPI. Par ailleurs, si c'est une machine virtuelle, vous pouvez aussi utiliser un snapshot pour revenir en arrière facilement.
En complément, suivez les étapes ci-dessous, car ceci fait partie du processus de mise à jour de GLPI (notamment pour les données). En local sur le serveur GLPI, nous allons pouvoir sauvegarder les données et la base de données de l'application.
A. Sauvegarder la base de données
Pour commencer, nous allons sauvegarder la base de données de GLPI à l'aide de l'utilitaire mysqldump. Il est inclus nativement avec MySQL, et MariaDB.
Vous devez vous connecter à votre serveur et ouvrir une console en ligne de commande. Pour ma part, il s'agit d'un serveur sous Linux, donc la connexion est établie en SSH.
Si vous ne vous souvenez plus du nom de votre base de données, connectez-vous à votre instance MySQL :
mysql -u root -p
Indiquez le mot de passe root de MySQL. Puis, listez les bases de données :
show databases;
Pour ma part, la base de données s'appelle "db23_glpi". Désormais, nous allons sauvegarder cette base de données.
La commande ci-dessous permet de se connecter à l'instance MySQL en tant que root (vous pouvez, en principe, utiliser le compte utilisateur dédié à GLPI si vous en avez créé un) pour effectuer la sauvegarde de la base de données "db23_glpi". En sortie, cette sauvegarde donnera lieu au fichier "/home/glpi_adm/backup_db23_glpi.sql" (soit dans le "/home" de l'utilisateur avec lequel je suis connecté sur le serveur).
La sauvegarde sera plus ou moins longue en fonction de la quantité d'informations stockées dans votre base de données.
Vérifiez que le fichier de sauvegarde a bien été créé :
B. Sauvegarder les données
Dans les fichiers de GLPI, au-delà des scripts PHP et d'autres fichiers relatifs au bon fonctionnement de l'application en elle-même, il y a aussi vos données.
En effet, le répertoire "files" contient les documents ajoutés en tant que pièce jointe dans les tickets, tandis que le répertoire "plugins" contient les extensions que vous avez ajoutées à votre GLPI. En complément, les répertoires "config" et "marketplace" sont également importants.
Par précaution, vérifiez que les répertoires suivants soient bien présents (et qu'ils ne sont pas vides) : files, plugins, config et marketplace. Les fichiers "config_db.php" et "glpicrypt.key" du répertoire "config" sont particulièrement précieux.
ls -l /home/glpi_adm/backup_glpi/
V. Mettre à jour GLPI
A. Supprimer la version actuelle
Nous n'allons pas altérer la base de données de GLPI, mais nous allons supprimer le répertoire de la version actuelle. Par exemple, si votre GLPI est installé dans le répertoire "/var/www/glpi/" du serveur Web, c'est ce dossier que vous devez supprimer. Ceci permet de laisser la place libre pour la future version de GLPI.
Voici la commande à exécuter :
sudo rm -Rf /var/www/glpi/
B. Télécharger GLPI
À partir du GitHub officiel de GLPI, vous devez copier le lien de l'archive tar.gz correspondante à la version que vous souhaitez installer. Dans cet exemple, c'est la version 10.0.12 qui sera installée.
Puis, à partir de la ligne de commande, initiez le téléchargement avec la commande wget :
cd /tmp
wget https://github.com/glpi-project/glpi/releases/download/10.0.12/glpi-10.0.12.tgz
Une fois que c'est fait, décompressez l'archive tar.gz :
tar -xzvf glpi-10.0.12.tgz
Une fois l'archive décompressée, vous obtenez un dossier nommé "glpi" qui contient l'ensemble des fichiers de cette nouvelle version.
Vous devez déplacer ce dossier vers la racine de votre site web GLPI. Pour ma part, ceci revient à déplacer le dossier "glpi" vers "/var/www/glpi". Ce qui donne :
sudo mv glpi /var/www/glpi
Quand c'est fait, vous pouvez passer à la suite.
C. Récupérer vos données
La prochaine étape consiste à récupérer vos données. Vous savez celles contenues dans les répertoires "files", "plugins", "config" et "marketplace". Ainsi, nous allons récupérer ces dossiers à partir de "/home/glpi_adm/backup_glpi/" (emplacement de la sauvegarde créée précédemment) vers le répertoire "/var/www/glpi/".
Puis, nous allons modifier les permissions sur les données du répertoire "/var/www/glpi" pour que l'utilisateur "www-data", utilisé par Apache2, soit propriétaire :
sudo chown -R www-data:www-data /var/www/glpi/
D. Effectuer la mise à jour de la base de données GLPI
Voilà, vous y êtes ! C'est le moment de mettre à jour GLPI ! Enfin, la base de données, car en soi la mise à jour des fichiers est déjà effectuée !
Si vous accédez à l'interface de votre GLPI, vous allez tomber sur une page qui liste l'ensemble des prérequis et à la fin de cette page, il y a un bouton nommé "Upgrade" qui permet de déclencher la mise à jour.
Mais, l'éditeur de GLPI recommande plutôt d'effectuer la mise à jour à partir de la ligne de commande. Pour cela, vous devez continuer à utiliser la console de votre serveur (via une connexion SSH, par exemple).
Commencez par exécuter la commande ci-dessous pour vérifier les prérequis :
cd /var/www/glpi
sudo php bin/console glpi:system:check_requirements
Ceci permet de s'assurer que votre serveur dispose bien de tous les prérequis nécessaires pour accueillir GLPI. En principe, ce sera le cas, car GLPI était déjà installé. Dans la console, nous avons un statut pour chaque prérequis (comme en mode web).
Si tout est bon, vous pouvez lancer la mise à jour de la base de données GLPI avec cette commande :
sudo php bin/console db:update
Laissez-vous guider par la ligne de commande et vous devrez répondre à une ou deux questions par "yes" ou "no". Voici un exemple sur mon serveur :
Quelques secondes plus tard, la mise à jour est effectuée ! La console retourne le message "Migration effectuée" en vert, ce qui est plutôt positif. Connectez-vous à votre GLPI pour vérifier que tout fonctionne.
La mise à niveau étant terminée, vous devez supprimer ce fichier par sécurité :
sudo rm /var/www/glpi/install/install.php
Si vous utilisez des plugins, vous devez également vérifier leur état et éventuellement les mettre à jour (si nécessaire) à partir du menu "Configuration" puis "Plugins", ou via la Marketplace si vous l'avez activée.
Enfin, vous pouvez désactiver le mode maintenance de GLPI :
cd /var/www/glpi
sudo php bin/console glpi:maintenance:disable
GLPI a été correctement mis à jour de la version 10.0.10 à la version 10.0.12 :
VI. Conclusion
En suivant minutieusement cette procédure, vous devriez être en mesure de mettre à jour l'application GLPI sur votre serveur, que ce soit pour installer une version mineure ou une version majeure. Personnellement, j'ai utilisé cette méthode pendant plusieurs années et je suis toujours parvenu à mettre à jour l'application.
N'hésitez pas à laisser un commentaire sur cet article si vous avez une question ou si vous souhaitez apporter des précisions supplémentaires.
Présentation Dans ce tutoriel, je vais vous expliquer comment lié GLPI 10 avec un annuaire Active Directory pour permettre aux utilisateurs de se connecter avec leur compte du domaine. Cette liaison va permettre de synchroniser les utilisateurs dans GLPI, si vous utilisez un collecteur de courriels, cela permet de provisionner les comptes utilisateurs et permet ...
Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.
Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.
Voici la liste des vulnérabilités :
CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
CVE-2024-27104 : XSS stockée dans les tableaux de bord
CVE-2024-27914 : XSS reflétée en mode debug
CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
CVE-2024-27937 : Énumération des emails des utilisateurs
À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclic ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.
Attention : n'installez pas la version 10.0.13, mais passez directement sur la version 10.0.14 car la précédente version a introduit deux bugs plutôt gênants, comme le mentionne cette page.
GLPI : les mises à jour de sécurité s'enchaînent
Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").
Au mois de février 2024, Teclic a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.
Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !
Dans ce tutoriel, je vais vous expliquer comment activer et configurer les notifications par e-mail. Pour envoyer les messages, nous allons configurer un serveur SMTP. Les notifications pour fonctionner ont besoins que les actions automatiques soient correctement configurés. Activer et configurer les notifications par courriels dans GLPI Dans le menu, déplier Configuration 1 et cliquer ...
Présentation Le collecteur dans GLPI permet de récupérer les emails sur une boite aux lettres pour ensuite créer un ticket. Si dans votre organisation, vous avez une boite aux lettres dédiés aux incidents informatique, le collecteur va permettre de venir récupérer les emails dans cette boite aux lettres et créer un ticket automatiquement. Quand les ...
Dans ce tutoriel, je vais vous expliquer comment configurer les actions automatiques dans GLPI 10. Présentation des actions automatiques dans GLPI Pour réaliser certaines actions de fond comme les notifications par email, collectes des messages pour la génération de tickets, divers tâches de maintenance … GLPI 10 utilise des actions automatiques également appelé cron. Les ...
Dans ce tutoriel, je vais vous expliquer comment mettre en place l’inventaire réseaux dans GLPI 10 avec GLPI Agent. C’est la fonctionnalité équivalente à la découverte et inventaire réseau avec FusionInventory : FusionInventory : configuration des tâches de découverte et d’inventaire Présentation de l’inventaire réseaux avec GLPI Agent L’inventaire réseaux permet de découvrir et collecter ...
Introduction Dans ce tutoriel, je vais vous expliquer comment mettre en place l’inventaire automatique dans GLPI 10 avec GLPI Agent. Avant la version 10 de GLPI, il fallait passer par un plugin (Fusioninventory ou OCSInventory) pour avoir l’inventaire automatique dans GLPI. Depuis cette fonctionnalité est native à GLPI, si on est habitué à utiliser FusionInventory, ...
Dans ce tutoriel, je vais vous expliquer comment installer GLPI 10 . Présentation de GLPI GLPI est l’acronyme de Gestionnaire Libre de Parc Informatique, c’est un logiciel Open source écrit en PHP et qui utilise une base de données MySQL ou MariaDB. GLPI est aujourd’hui éditer par la société Teclib qui distribue GLPI sous licence ...
Connexion
