Aprenda como funciona o GLPi ou Fusioninventotry Agent e faça...
Leia maisDetectado Bug de Segurança no GLPi
-
Halexsandro de Freitas Sales
- 13/06/2019
Compartilhe esse post
Nesta semana, nossa equipe de testes e desenvolvimento descobriu um BUG grave no sistema GLPi que permite a manipulação e injeção de código SQL de forma maliciosa por parte de um atacante.
NOTA IMPORTANTE
Os Clientes do serviço GLPi em nuvem da Verdanatech já estão seguros quanto a este risco desde sua descoberta.
Por questões de segurança, não comentaremos como o ataque funciona. Mas, fazendo valer os princípios e valores praticados pela Verdanatech, mantendo total transparência e respeito a nosso compromisso com a Comunidade de usuários do sistema GLPi no Brasil e no mundo e, principalmente com nossos Clientes, tornamos público por meio desta Nota a existência do Risco de Segurança, bem como a sua eliminação.
Ações já realizadas
Ao mapear o incidente e entender que trata-se de Grande Impacto, a Verdanatech contatou diretamente os desenvolvedores oficiais do Projeto GLPi para relato do BUG e de seu risco.
Tomamos como decisão não abrir uma ISSUE padrão no repositório GIT do Projeto, como é de costume, para que os métodos de exploração da vulnerabilidade não pudessem ser explorados por pessoas mal intencionadas.
Versões afetadas
Este erro afeta as versões anteriores a 9.4 que permitem a opção de usar abertura de chamados sem o recurso de Texto Rico (recursos html e imagens na abertura de chamados).
Solução
Embora seja um erro crítico que pode permitir ao atacante obter informações de forma indevida a seu sistema ou até mesma apagar sua base de dados, dependendo do ambiente, sua solução é bastante simples e pode ser feita sem a manipulação de qualquer código. Tornando necessário apenas realizar ajustes no sistema.
Para solucionar o problema, basta ativar o recurso Texto Rico no sistema. Abaixo, apresentamos como executar isso no seu ambiente:
Passo 1 – Acesse o seu sistema com uma conta de administrador

Passo 2 – Selecione: Menu principal > Configurar > Geral

3 – Agora, acesse a aba “Assistência” e marque a opção “Usar texto rico para helpdesk” como “SIM”. Feito isso, basta clicar em no botão “Salvar” e sua base não estará mais vulnerável.

Esperamos que tenhamos contribuído com este pequeno post e que isso lhe ajude a evitar problemas no futuro.
Deixe o seu comentário
Quer receber nossas atualizações com conteúdos exclusivos?
Deixe seu contato
Mais artigos para você explorar

Instalação do GLPi Agent em Massa
Aprenda como funciona o GLPi ou Fusioninventotry Agent e faça a instalação do GLPi Agent em massa via GPO em sua rede.

Como instalar o GNU/Linux Debian 12
Se você deseja iniciar em Linux, GLPi ou Zabbix, descubra as maravilhas do GNU/Linux Debian 12 neste guia passo a passo e prepare seus laboratórios para os próximos passos que virão com a #gataVerde!