O que é a vulnerabilidade CVE-2022-31061 e como corrigir no GLPI

· 2 minutos de leitura
O que é a vulnerabilidade CVE-2022-31061 e como corrigir no GLPI
CVE-2022-31061

Uma vulnerabilidade nomeada CVE-2022-31061 foi identificada no GLPI, onde através de uma injeção SQL pela página de login era possível inserir informações dentro da ferramenta sem estar logado. As versões do GLPI que são afetadas por essa vulnerabilidade variam:

• >= 9.3.0 < 9.5.8
• >= 10.0.0 < 10.0.2

A recomendação é a aplicação do patch de correção o mais breve possível, caso o GLPI em questão encontra-se nesse range vulnerável. As versões 9.5.8, 10.0.2 ou superiores já contém a correção dessa vulnerabilidade.


Aplicando patch de correção

• É aconselhável a aplicação do patch primeiro em ambiente de homologação para garantir a continuidade do serviço.
• Verifique antes de aplicar o patch de correção, qual é a versão do GLPI para não sobrescrever versões não compatíveis.

  • Versão do GLPI - 9.5.7
  • Pacote para aplicação da correção - patch
  • SO Linux - RHEL (CentOS, AlmaLinux e Rock Linux)
  • Diretório do GLPI - /usr/share/glpi/
  • Pasta do Arquivo - glpi/inc
  • Arquivo de Backup - auth.class.php-bkp-jun-22
  • Arquivo alterado - auth.class.php

No arquivo patches-CVE-2022-31061.tar.gz contem a correção para as versões 9.3.x, 9.4.x e 9.5.x do GLPI.

Será necessário alterar o diretório conforme a versão do seu GLPI.

yum install -y patch
cd /tmp/
wget https://cve.blog.servicedeskbrasil.com.br/CVE/patches-CVE-2022-31061.tar.gz --no-check-certificate
tar -xzvf patches-CVE-2022-31061.tar.gz
cp -rp patches-CVE-2022-31061/9.5.7/auth.patch /usr/share/glpi/.
cd /usr/share/glpi/
cp -rp inc/auth.class.php inc/auth.class.php-bkp-jun-22
patch -p1 < auth.patch

Checagem se a correção foi aplicada

A forma mais simples de checar se foi aplicado corretamente o patch, é verificar o próprio código no arquivo auth.class.php, o código que é alterado pode ser consultado diretamente na página do git  aqui para as versões 9.5.3 >= e < 9.5.8, da versão >= 10.0.0 e < 10.0.2 aqui.

Os códigos em vermelho são os removidos e os destacados em verde são os adicionados, basta olhar se existe o código em verde no arquivo auth.class.php.


Como implantar o GLPI?

Na Servicedesk Brasil cuidamos de tudo, desde a consultoria, alinhamento estratégico, implementação, automação de processos, fluxos, identidade visual personalizada, suporte, treinamento e desenvolvimento ou integração.

Nosso lema é ajudar o seu negócio crescer, aqui tem um Time esperando o seu Projeto de GLPI, permita que possamos potencializar e digitalizar os processos da sua organização!

A gente come, bebe e dorme GLPI. Somos APAIXONADOS pelo que fazemos.

Fale com um especialista: falecom@servicedeskbrasil.com.br
Nós queremos te ouvir!!!

GLPI 10
O lançamento oficial do GLPI 10 aconteceu no dia 20 de abril, pensando nisso, que tal um treinamento para dominar todas as novidades?