[gepi-users] --- IMPORTANT : Sécurité Gepi --- Nouvelle version 1.4.1 ---

pascal.britton at ac-caen.fr pascal.britton at ac-caen.fr
Lun 13 Mar 18:57:02 CET 2006 

Bonjour,

J'ai un soucis si je dois installer la dernière version car j'ai mofidifié  
pas mal de fichiers php pour adapter GEPI aux souhaits de la direction.
Pourrais-je mettre à jours seulement certains fichiers ?

Merci d'avance.
Pascal B.



Le Mon, 13 Mar 2006 10:40:09 +0100, Thomas BELLIARD  
<thomas.belliard at free.fr> a écrit:

> Bonjour à tous,
>
> Merci de lire très attentivement *tout* ce qui suit.
>
> Ces dernières semaines, Gepi a subi un audit de sécurité mené par Cédric
> Foll du Rectorat de Rouen mandaté par le bureau des études techniques et
> des plans d'informatisation du ministère de l'éducation nationale. Cet
> audit a permis d'identifier un certain nombre de failles de sécurité,
> certaines critiques. Ces failles ont été corrigées par Laurent et
> moi-même en échange permanent avec Cédric Foll.
>
> Je ne détaillerai pas ces failles pour l'instant, pour vous laisser le
> temps de mettre à jour vos installations de Gepi.
>
> Toutefois, je ne saurais être plus insistant sur l'importance de mettre
> à jour *immédiatement* tous les Gepi en production. Contrairement à la
> faille détectée il y a quelques mois, une partie de ces failles
> nouvellement identifiées est totalement indépendante du serveur sur
> lequel Gepi est installé. TOUTE LES VERSIONS SONT CONCERNEES, à
> l'exception de cette nouvelle version 1.4.1.
>
> Je sais qu'il s'agit d'une période de conseils de classe, mais
> n'attendez pas la fin des conseils pour effectuer la mise à jour. Pensez
> simplement à faire les sauvegardes nécessaires pour prévenir tout  
> problème.
>
> La mise à jour vers la 1.4.1 forcera tous les utilisateurs à changer
> leur mot de passe.
>
> Deux petites recommandations :
>
> - vérifiez la liste des utilisateurs, notamment ceux ayant le statut
> administrateur
> - demandez aux professeurs de bien vérifier les moyennes trimestrielles
> et de regarder le journal de leurs dernières connexions, pour identifier
> toute anomalie
>
> Lien direct vers le fichier :
> http://adullact.net/frs/download.php/1163/gepi-1.4.1.tar.gz
>
> J'insiste : n'attendez pas. La nouvelle de ces failles de sécurité va se
> répandre rapidement et attirer les potentiels pirates.
>
> Enfin, je le répète même si ça n'a rien à voir avec les failles en
> question dans cette nouvelle version : ne vous connectez à Gepi qu'en
> HTTPS, et pas HTTP...
>
> Cette version 1.4.1 est déjà utilisée en production et ne devrait pas
> présenter de bugs. Toutefois si c'était le cas, contactez-nous
> rapidement sur cette liste, et déposez un rapport de bugs sur l'outil de
> suivi.
>
> Nous restons bien sûr à votre disposition pour toute question.
>
> Bonne journée,
>
> Thomas Belliard
>



-- 
Utilisant le client e-mail révolutionnaire d'Opera :  
http://www.opera.com/mail/

Plus d'informations sur la liste de diffusion gepi-users