Vulnérabilité: CVE-2020-5248

GLPI avant avant la version 9.4.6 a une vulnérabilité impliquant une clé de chiffrement par défaut. GLPIKEY est public et est utilisé sur tous les cas. Ce moyen de n’importe qui peut décrypter les données sensibles stockées en utilisant cette touche. Il est possible de changer la clé avant d’installer GLPI. Mais sur les instances existantes, les données doivent être reencrypted avec la nouvelle clé. Le problème est que nous ne pouvons pas savoir quelles colonnes ou lignes dans la base de données utilisent que; espcially de plug-ins. Modification de la clé sans mettre à jour les données prêterait au mauvais mot de passe envoyé par GLPI; mais les stocker à nouveau de l’interface utilisateur fonctionnera.


https://github.com/glpi-project/glpi/security/advisories/GHSA-j222-j9mf-h6j9
https://github.com/glpi-project/glpi/commit/efd14468c92c4da43333aa9735e65fd20cbc7c6c
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5248


Il est possible de laisser un commentaire en tant qu'utilisateur enregistré du site, accédant par les réseaux sociaux, compte wordpress ou en tant qu'utilisateur anonyme. Si vous souhaitez laisser un commentaire en tant qu'utilisateur anonyme, vous serez informé par courrier électronique d'une réponse possible uniquement si vous saisissez votre adresse électronique (facultatif). L'inclusion de toute donnée dans les champs de commentaires est totalement facultative. Toute personne qui décide de saisir des données accepte le traitement de celles-ci pour les finalités inhérentes au service ou la réponse au commentaire et aux communications strictement nécessaires.


Laisser un commentaire