Mensagem importante sobre segurança (CVE-2022-35947, CVE-2022-35914)!

Essa publicação é uma versão traduzida, a versão original pela Teclib' você encontra aqui!

Publicamos versões corretivas em 14 de setembro de 2022:

• 9.5.9 :  https://github.com/glpi-project/glpi/releases/download/9.5.9/glpi-9.5.9.tgz
• 10.0.3 :  https://github.com/glpi-project/glpi/releases/download/10.0.3/glpi-10.0.3.tgz

Elas corrigem duas vulnerabilidades críticas de segurança: uma injeção de SQL (CVE-2022-35947) e uma execução remota de código (CVE-2022-35914, vulnerabilidade na biblioteca de terceiros, htmlawed), esta última foi massivamente explorada desde 03 de outubro de 2022 para executar código em servidores inseguros, disponíveis na internet, hospedagem GLPI (as instâncias do GLPI Network Cloud não são afetadas).

Se você não estiver na versão mais recente  9.5.9  ou  10.0.3 , deverá  atualizar suas instâncias  de acordo com o  método recomendado  (de uma pasta vazia, sem substituir os arquivos GLPI existentes).

Percebemos que existe um cenário em que as versões corretivas também podem ser impactadas: quando uma atualização do GLPI é realizada, descompactando o arquivo sobre as pastas e arquivos existentes. Insistimos que esta forma de atualizar o GLPI não é uma boa prática e apesar do atual problema de segurança, expõe você a bugs.

Convidamos você a reinstalar corretamente seu GLPI conforme indicado na  documentação:

• de uma pasta vazia
• copie os arquivos do arquivo da versão mais recente
• obtenha seus diretórios config/ e  files/ da instância antiga

Soluções alternativas para lidar com a urgência do RCE (isso não corrige a injeção de SQL):

• exclua o arquivo localizado dentro da pasta do glpi no caminho vendor/htmlawed/htmlawed/htmLawedTest.php (cuidado para não tocar no htmLawed.php arquivo que é legítimo e necessário pelo GLPI).
• evite o acesso publico no diretório vendor/ (no caso do Apache, por exemplo) um arquivo .htaccess.

Se o seu servidor já estiver comprometido, você provavelmente precisará iniciar a partir de um novo servidor, no qual você importará seu dump SQL e as pastas mencionadas acima config/ e  files/.

Important message about security (CVE-2022-35947, CVE-2022-35914)! - GLPI Project

If you are not on the latest version 9.5.9 or 10.0.3, you must update your instances according to the recommended method.

GLPI Project

GLPI 10

O lançamento oficial do GLPI 10 aconteceu no dia 20 de abril, pensando nisso, que tal um treinamento para dominar todas as novidades?

Feito com as Extensões da Hotmart

Como implantar o GLPI?

Na Servicedesk Brasil cuidamos de tudo, desde a consultoria, alinhamento estratégico, implementação, automação de processos, fluxos, identidade visual personalizada, suporte, treinamento e desenvolvimento ou integração.

Nosso lema é ajudar o seu negócio crescer, aqui tem um Time esperando o seu Projeto de GLPI, permita que possamos potencializar e digitalizar os processos da sua organização!

A gente come, bebe e dorme GLPI. Somos APAIXONADOS pelo que fazemos.

Fale com um especialista: falecom@servicedeskbrasil.com.br‌
‌Nós queremos te ouvir!!!