[gepi-users] -- IMPORTANT -- GEPI -- Rappel : mises à jour de sécurité

Thomas BELLIARD thomas.belliard at free.fr
Lun 26 Mar 09:21:46 CEST 2007 

Bonjour à tous,

J'ai annoncé vendredi soir deux mises à jour de Gepi, 1.4.2.1 et 
1.4.3.2, qui corrigent une faille de sécurité. Je n'ai pas donné plus de 
détails car c'était vendredi soir et j'imagine que beaucoup d'entre vous 
n'ont pas vu ce message avant ce matin.

Je me permets donc d'envoyer ce rappel pour vous demander de mettre à 
jour *immédiatement* vos versions de Gepi en production. La version 
1.4.2.1 est destinée à ceux qui utilisent encore la 1.4.2 stable, et la 
1.4.3.2 à ceux qui utilisent la 1.4.3.1. La faille est également 
corrigée sur le SVN de la 1.4.4.

Il s'agit d'une faille critique, de type injection SQL, qui permet à 
*n'importe qui* d'exécuter une requête sur la base de données. Le script 
contenant la faille est /gestion/accueil_sauve.php. Vous pouvez donc 
n'uploader que ce fichier corrigé (depuis les paquets diffusés vendredi) 
pour fermer la faille, c'est suffisant.

Etant donné la nature critique du problème, il est indispensable que 
vous fassiez des vérifications approfondies de votre installation de 
Gepi. Dans l'odre :

- vérifier la liste des utilisateurs et vous assurer qu'aucun nouvel 
utilisateur n'est apparu, notamment un utilisateur au statut 
'administrateur' (mais pas seulement)

- informer les utilisateurs de Gepi de la découverte de cette faille et 
leur demander de vérifier les informations sensibles, notamment les 
notes et appréciations du bulletin et les informations concernant les 
absences.

- réinitialiser les mots de passe de tous les utilisateurs. A défaut, 
demander (avec insistance!) à tous les utilisateurs de vérifier leurs 
logs de connexion de la semaine dernière, en leur demandant de vous 
informer immédiatement en cas de problème. Dans l'hypothèse où vous ne 
feriez pas de réinitialisation globale des mots de passe, incitez vos 
utilisateurs à changer de mot de passe eux-mêmes.

La faille m'a été rapportée par Sylvain Laurent, que je tiens à 
remercier. Comme dans la plupart des cas de faille détectées par 
exploration du code (et non par un admin après une exploitation de la 
faille en question) il est probable qu'aucun piratage n'ait eu lieu sur 
vos installations, mais cela n'enlève rien à l'importance de faire les 
vérifications ci-dessus.

Nous allons essayer de mettre en place de nouveaux vecteurs de 
communication pour la sécurité (un système intégré directement dans 
l'interface Gepi, par exemple) afin de rendre les annonces plus efficaces.

Si vous avez la moindre question, n'hésitez pas !

Bonne journée,
Thomas

Plus d'informations sur la liste de diffusion gepi-users