- you'll find an english version at the end -
Bonjour,
Une mise à jour de sécurité GLPI 0.84.2 a été publiée le 12/09/2013 afin
de corriger une faille de sécurité du processus d’installation.
Comme à l’accoutumé, nous avons fortement recommandé à l’ensemble de nos
utilisateurs de mettre à jour leur GLPI.
Nous venons de découvrir qu’une société diffuse ouvertement sur le web
un script complet permettant d’exploiter de façon automatisée cette faille.
Pour éviter toute action par des individus malveillants, nous invitons à
nouveau et d’urgence tous nos utilisateurs à mettre à jour leur GLPI en
version 0.84.2.
Si vous êtes dans l’impossibilité de mettre à jour votre GLPI, vous
pouvez simplement supprimer le répertoire install/ et les fichiers s’y
trouvant.
Nous désapprouvons totalement ce genre de comportement qui d’une part
s’écarte fortement de la démarche constructive en vigueur dans
l’eco-système open-source et d’autre part met en difficulté nos
utilisateurs qui ne sont pas responsables de nos erreurs.
Depuis dix ans, nous mettons un point d’honneur à citer et remercier les
personnes qui nous alertent sur des problématiques de sécurité et à
publier dans les délais les plus brefs des versions correctives. Ceci au
prix d’une mobilisation exceptionnelle et systématique de l’équipe de
développeurs bénévoles animée par le respect de nos utilisateurs. Il
semble que ce respect ne soit pas partagé par tous...
--
L'équipe de développement.
# English version #
Hi,
A security update (GLPI 0.84.2) was published on September 12th 2013 in
order to correct a security issue in the installation process.
As always, we have highly incited our users to update their GLPI.
We have just discovered that a company is publishing on the web a
complete script which enables to massively exploit this security issue.
In order to avoid any malevolence, we strongly and urgently recommend
all our users to update their GLPI with the 0.84.2 version.
If you can't update your GLPI, you can simply delete the 'intall/'
directory along with its content.
We totally disapprove of this kind of behaviour which, on the one hand,
goes against the open-source ethics and on the other hand jeopardizes
our users who are not responsible of our own mistakes.
Over the past tens years, we have always quoted and thanked the people
who find security issues in our application. When such a problem occurs,
our team of volunteers, who respect our users, work day and night to
publish as quickly as possible a corrected version. It seems that not
everyone is as respectful of users as we are...
Best regards,
--
The development Team
_______________________________________________
Glpi-dev mailing list
Glpi-dev@gna.org
https://mail.gna.org/listinfo/glpi-dev