Conheça em detalhes as principais novidades e diferenças na interface...
Leia maisDetectado Bug de Segurança no GLPi
-
Halexsandro de Freitas Sales
- 13/06/2019
Compartilhe esse post
Nesta semana, nossa equipe de testes e desenvolvimento descobriu um BUG grave no sistema GLPi que permite a manipulação e injeção de código SQL de forma maliciosa por parte de um atacante.
NOTA IMPORTANTE
Os Clientes do serviço GLPi em nuvem da Verdanatech já estão seguros quanto a este risco desde sua descoberta.
Por questões de segurança, não comentaremos como o ataque funciona. Mas, fazendo valer os princípios e valores praticados pela Verdanatech, mantendo total transparência e respeito a nosso compromisso com a Comunidade de usuários do sistema GLPi no Brasil e no mundo e, principalmente com nossos Clientes, tornamos público por meio desta Nota a existência do Risco de Segurança, bem como a sua eliminação.
Ações já realizadas
Ao mapear o incidente e entender que trata-se de Grande Impacto, a Verdanatech contatou diretamente os desenvolvedores oficiais do Projeto GLPi para relato do BUG e de seu risco.
Tomamos como decisão não abrir uma ISSUE padrão no repositório GIT do Projeto, como é de costume, para que os métodos de exploração da vulnerabilidade não pudessem ser explorados por pessoas mal intencionadas.
Versões afetadas
Este erro afeta as versões anteriores a 9.4 que permitem a opção de usar abertura de chamados sem o recurso de Texto Rico (recursos html e imagens na abertura de chamados).
Solução
Embora seja um erro crítico que pode permitir ao atacante obter informações de forma indevida a seu sistema ou até mesma apagar sua base de dados, dependendo do ambiente, sua solução é bastante simples e pode ser feita sem a manipulação de qualquer código. Tornando necessário apenas realizar ajustes no sistema.
Para solucionar o problema, basta ativar o recurso Texto Rico no sistema. Abaixo, apresentamos como executar isso no seu ambiente:
Passo 1 – Acesse o seu sistema com uma conta de administrador

Passo 2 – Selecione: Menu principal > Configurar > Geral

3 – Agora, acesse a aba “Assistência” e marque a opção “Usar texto rico para helpdesk” como “SIM”. Feito isso, basta clicar em no botão “Salvar” e sua base não estará mais vulnerável.

Esperamos que tenhamos contribuído com este pequeno post e que isso lhe ajude a evitar problemas no futuro.
Deixe o seu comentário
Quer receber nossas atualizações com conteúdos exclusivos?
Deixe seu contato
Mais artigos para você explorar

Perdendo o medo do GLPi 10: A nova Interface
Conheça em detalhes as principais novidades e diferenças na interface gráfica do GLPi 10.0 em comparação com a verão 9.5 e anteriores para te deixar mais tranquilo com o processo de atualização e mudança do sistema, além de alguns detalhes sobre os plugins da Verdanatech presente em todas as instâncias Verdanadesk.

Como instalar o Grafana
Aprenda com este novo #pulo da #gataVerde como instalar o Grafana, um dos visualizadores de dados opensource mais usados e eficiente do mundo.
Post atualizo com correção de BUG de segurança. Recomendamos a atualização URGENTE em ambientes de produção.