Log in Inscreva-se
GLPI

Mensagem importante sobre segurança (CVE-2022-35947, CVE-2022-35914)!

Servicedesk Brasil
· 3 minutos de leitura
Mensagem importante sobre segurança (CVE-2022-35947, CVE-2022-35914)!
Versão original pela Teclib'
Essa publicação é uma versão traduzida, a versão original pela Teclib' você encontra aqui!

Publicamos versões corretivas em 14 de setembro de 2022:

Elas corrigem duas vulnerabilidades críticas de segurança: uma injeção de SQL (CVE-2022-35947) e uma execução remota de código (CVE-2022-35914, vulnerabilidade na biblioteca de terceiros, htmlawed), esta última foi massivamente explorada desde 03 de outubro de 2022 para executar código em servidores inseguros, disponíveis na internet, hospedagem GLPI (as instâncias do GLPI Network Cloud não são afetadas).

Se você não estiver na versão mais recente  9.5.9  ou  10.0.3 , deverá  atualizar suas instâncias  de acordo com o  método recomendado  (de uma pasta vazia, sem substituir os arquivos GLPI existentes).

Percebemos que existe um cenário em que as versões corretivas também podem ser impactadas: quando uma atualização do GLPI é realizada, descompactando o arquivo sobre as pastas e arquivos existentes. Insistimos que esta forma de atualizar o GLPI não é uma boa prática e apesar do atual problema de segurança, expõe você a bugs.

Convidamos você a reinstalar corretamente seu GLPI conforme indicado na  documentação:

  • de uma pasta vazia
  • copie os arquivos do arquivo da versão mais recente
  • obtenha seus diretórios config/ e  files/ da instância antiga

Soluções alternativas para lidar com a urgência do RCE (isso não corrige a injeção de SQL):

  • exclua o arquivo localizado dentro da pasta do glpi no caminho vendor/htmlawed/htmlawed/htmLawedTest.php (cuidado para não tocar no htmLawed.php arquivo que é legítimo e necessário pelo GLPI).
  • evite o acesso publico no diretório vendor/ (no caso do Apache, por exemplo) um arquivo .htaccess.

Se o seu servidor já estiver comprometido, você provavelmente precisará iniciar a partir de um novo servidor, no qual você importará seu dump SQL e as pastas mencionadas acima config/ e  files/.

Important message about security (CVE-2022-35947, CVE-2022-35914)! - GLPI Project
If you are not on the latest version 9.5.9 or 10.0.3, you must update your instances according to the recommended method.
GLPI Project
GLPI 10
O lançamento oficial do GLPI 10 aconteceu no dia 20 de abril, pensando nisso, que tal um treinamento para dominar todas as novidades?
Feito com as Extensões da Hotmart

Como implantar o GLPI?

Na Servicedesk Brasil cuidamos de tudo, desde a consultoria, alinhamento estratégico, implementação, automação de processos, fluxos, identidade visual personalizada, suporte, treinamento e desenvolvimento ou integração.

Nosso lema é ajudar o seu negócio crescer, aqui tem um Time esperando o seu Projeto de GLPI, permita que possamos potencializar e digitalizar os processos da sua organização!

A gente come, bebe e dorme GLPI. Somos APAIXONADOS pelo que fazemos.

Fale com um especialista: falecom@servicedeskbrasil.com.br
Nós queremos te ouvir!!!

Related Articles

Planejando seu projeto de GLPI, GLPI Inventory e Metabase

Planejando seu projeto de GLPI, GLPI Inventory e Metabase

· 9 minutos de leitura
Funil de Atendimento

Funil de Atendimento

· 5 minutos de leitura
GLPI 10.0.17: Atualização Importante

GLPI 10.0.17: Atualização Importante

· 4 minutos de leitura
Imersão total

Imersão total

· 2 minutos de leitura
GLPI básico do zero ao operacional

GLPI básico do zero ao operacional

· 1 minuto de leitura
Como ser um Analista de Suporte na era da Inteligência Artificial?

Como ser um Analista de Suporte na era da Inteligência Artificial?

· 6 minutos de leitura