Après plusieurs semaines, Teclib’ a le plaisir de vous annoncer la sortie de GLPI version 9.5.6.
Cette version corrige plusieurs problèmes de sécurité qui ont été découverts récemment. La mise à jour est fortement conseillée.
L’archive de GLPI version 9.5.6 est disponible sur GitHub.
Vous trouverez ci-dessous la liste des corrections de problemes de securité corrigés dans cette version:
- [SECURITE] Divulgation des informations GLPI et serveur par la page de télémétrie [CVE-2021-39211]
- [SECURITE] Cookie de connexion automatique accessible par scripts [CVE-2021-39210]
- [SECURITE] Protection CSRF contournable sur les url ajax [CVE-2021-39209]
- [SECURITE] Contournement de la restriction d’IP sur l’API GLPI avec injection d’en-tête personnalisée [CVE-2021-39213]
Sur cette derniere, l’entête `HTTP_X_FORWARDED_FOR` peut être défini par un client pour contourner la restriction IP de l’API REST, nous avons supprimé la récuperation de cette entête. Les clients API derrière des proxys peuvent être affectés et perdre l’accès à l’API. Nous vous recommandons de définir l’entête nécessaire (`REMOTE_ADDR`) dans le serveur Web servant GLPI.
De plus, voici une liste des correctifs importants de cette version:
- CORRECTIF Collecteur warning « Missing type for Ticket template »
- CORRECTIF Affichage des images dans les tickets depuis des emails collectés
- CORRECTIF Problèmes d’encodage des emails en GB2312 et contenant des caractères spéciaux
- CORRECTIF Les règles pouvaient ne plus fonctionner après une mise à jour en 9.5.5
- CORRECTIF KPIs de dashboard incorrects comparés aux résultats de recherches
- CORRECTIF Les utilisateurs LDAP étaient définis comme supprimés après un échec de mot de passe
- CORRECTIF Prévention de l’utilisation des filtres de date lors de la synchronisation LDAP complète
Voir le journal des changements complet pour plus de détails.
Nous remercions toutes les personnes qui ont contribué à cette nouvelle version et plus généralement toutes celles et ceux qui soutiennent régulièrement le projet GLPI.
Vous cherchez un support professionnel ? Consultez notre offre du support GLPI Network ou essayez GLPI Network Cloud.