[gepi-users] --- IMPORTANT : Sécurité Gepi --- Nouvelle version 1.4.1 ---

Thomas BELLIARD thomas.belliard at free.fr
Lun 13 Mar 10:40:09 CET 2006 

Bonjour à tous,

Merci de lire très attentivement *tout* ce qui suit.

Ces dernières semaines, Gepi a subi un audit de sécurité mené par Cédric
Foll du Rectorat de Rouen mandaté par le bureau des études techniques et
des plans d'informatisation du ministère de l'éducation nationale. Cet
audit a permis d'identifier un certain nombre de failles de sécurité,
certaines critiques. Ces failles ont été corrigées par Laurent et
moi-même en échange permanent avec Cédric Foll.

Je ne détaillerai pas ces failles pour l'instant, pour vous laisser le
temps de mettre à jour vos installations de Gepi.

Toutefois, je ne saurais être plus insistant sur l'importance de mettre
à jour *immédiatement* tous les Gepi en production. Contrairement à la
faille détectée il y a quelques mois, une partie de ces failles
nouvellement identifiées est totalement indépendante du serveur sur
lequel Gepi est installé. TOUTE LES VERSIONS SONT CONCERNEES, à
l'exception de cette nouvelle version 1.4.1.

Je sais qu'il s'agit d'une période de conseils de classe, mais
n'attendez pas la fin des conseils pour effectuer la mise à jour. Pensez
simplement à faire les sauvegardes nécessaires pour prévenir tout problème.

La mise à jour vers la 1.4.1 forcera tous les utilisateurs à changer
leur mot de passe.

Deux petites recommandations :

- vérifiez la liste des utilisateurs, notamment ceux ayant le statut
administrateur
- demandez aux professeurs de bien vérifier les moyennes trimestrielles
et de regarder le journal de leurs dernières connexions, pour identifier
toute anomalie

Lien direct vers le fichier :
http://adullact.net/frs/download.php/1163/gepi-1.4.1.tar.gz

J'insiste : n'attendez pas. La nouvelle de ces failles de sécurité va se
répandre rapidement et attirer les potentiels pirates.

Enfin, je le répète même si ça n'a rien à voir avec les failles en
question dans cette nouvelle version : ne vous connectez à Gepi qu'en
HTTPS, et pas HTTP...

Cette version 1.4.1 est déjà utilisée en production et ne devrait pas
présenter de bugs. Toutefois si c'était le cas, contactez-nous
rapidement sur cette liste, et déposez un rapport de bugs sur l'outil de
suivi.

Nous restons bien sûr à votre disposition pour toute question.

Bonne journée,

Thomas Belliard

-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 254 octets
Desc: OpenPGP digital signature
Url: http://lists.adullact.net/pipermail/gepi-users/attachments/20060313/796c4fd1/signature.pgp

Plus d'informations sur la liste de diffusion gepi-users