[gepi-users] --- IMPORTANT : Sécurité Gepi --- Nouvelle version 1.4.1 ---

Thomas BELLIARD thomas.belliard at free.fr
Mer 15 Mar 00:03:20 CET 2006 

Marot Jacques wrote:
> Étant très embarassé pour modifier gepi sur notre
> serveur EN PLEINE PÉRIODE ACTIVE, j'ai installé
> dans l'urgence la nouvelle version 1.4.1  à côté de
> l'ancienne version 1.4.0 qui fonctionnent
> toutes les deux sur la même base de données.
> En remplaçant index.htm de la 1.4.0 par une redirection
> vers la 1.4.1. Ceci, afin afin de pouvoir revenir
> immédiatemment à la 1.4.0 en cas de pépin ou
> imcompréhension de certains collègues.
> 
> Est ce que le problème de sécurité est toujours
> là avec la version 1.4.0 installée mais qui ne permet
> pas de se <<loger>> puisque l'index.htm et login.php
> de la version 1.4.0 sont absents .

Malheureusement ça n'est pas suffisant. Certaines failles ne nécessitent
pas d'être déjà logués. donc à partir du moment où l'ancien Gepi reste
accessible d'une manière ou d'une autre, ça n'est pas bon.

La solution alternative que je te propose :
- renomme le répertoire du gepi-1.4.0 vers un nom aléatoire complexe
(utilise une fonction de génération de chaîne de caractères par exemple)
- recréé un répertoire ayant comme nom l'ancien nom d'installation de
gepi et place dedans les scripts de redirection vers le gepi-1.4.1
- si un problème majeur apparaît avec la 1.4.1, renomme le nom du
répertoire pour revenir à l'ancienne installation.

Mais il n'y a pas de raisons pour que la 1.4.1 ne fonctionne pas si la
1.4.0 fonctionnait. Il n'y a quasiment pas de changements de base de
données, et les changements concernant la sécurité ne concernent pas les
fonctionalités du logiciels, et ont été testé sur un gepi déjà en
production avant d'être diffusées...

J'aurais vraiment souhaité diffuser avant la période des conseils de
classes, mais les procédures de validation de nos correctifs concernant
les failles ne sont pas des plus simples et rapides.

En tout cas j'insiste pour que vous mettiez vos gepi en 1.4.1
immédiatement, en prenant les précautions nécessaires (comme garder une
1.4.0 cachée quelque part facilement réactivable, faire des sauvegardes
quotidiennes la nuit, etc.).

Bon courage,
Thomas

-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 254 octets
Desc: OpenPGP digital signature
Url: http://lists.adullact.net/pipermail/gepi-users/attachments/20060315/04bb27d2/signature.pgp

Plus d'informations sur la liste de diffusion gepi-users