Novo BUG encontrado no GLPi. Preciso mesmo fazer o Upgrade URGENTE igual disseram?

Essa semana, um novo BUG de segurança foi identificado no sistema GLPi. Mais que o próprio BUG, foi a forma como noticiado que chamou a atenção dos usuários do sistema. O site que fez a postagem sobre a falha de segurança do GLPi, talvez tenha sido um tanto quanto “Sensacionalista” ao escolher o título para a notícia. Gerando um alarde de proporção desnecessária. Neste post tentamos orientar os usuários quanto a questão “Preciso mesmo fazer o Upgrade URGENTE do meu GLPi?”. Exporemos o ocorrido, uma pequena análise sobre o assunto e apresentaremos algumas questões importantes para os usuários do sistema considerarem se realmente é hora ou não de migrar.

Da postagem sobre o BUG

A postagem foi feita no site “Tecmundo“, com um título muito assustador:

Usuário do sistema GLPI precisa instalar atualização o mais rápido possível

O título dá um ar de terrorismo, podendo levar à interpretação que, independente de qualquer coisa, os administradores do sistema deveriam realizar a atualização.

Para marujos de primeira viagem, postagens com este título gera um alarde desnecessário e muito pouco contribui para que as pessoas possam de fato tomar as melhores decisões, com base em informações e um plano estratégico, mitigando todos os riscos envolvidos (Ação x Reação).

Sair de uma versão de um sistema e simplesmente ir para outra, pode nem sempre ser a melhor saída. Existem custos e benefícios a serem considerados. Ignorar este fato, pode dar muitas dores de cabeça, diminuição de produtividade e satisfação, o que nos leva a diminuição de receita.

Sobre o BUG em si

O Bug foi descoberto e relatado pelo pesquisador Ado Cardoso da Silva que atua na Seção de Tecnologia da Informação e da Comunicação da Universidade Federal do Triângulo Mineiro – Campus Iturama, a quem agradeço como pessoa física e como instituição parceira da Comunidade de usuários do sistema GLPi no Brasil. São iniciativas assim que fazem o software livre amadurecer e ter status Corporativo na Indústria.

De forma direta, o BUG em questão, insere no sistema uma vulnerabilidade que permite usuários/atacantes terem acesso indevido a documentos (anexos) salvos na estrutura de diretórios do sistema.

Este BUG está vinculado a um recuso do GLPi que, com base nas pesquisas que realizamos na Verdanatech junto a nossos clientes e parceiros, possui muito pouca aderência. Em nossa pesquisa, executada após termos conhecimento da vulnerabilidade, não encontramos nenhuma base com o recurso ativo – o que não faz com que o risco seja eliminado.

A vulnerabilidade trata-se do recurso de disponibilizar acesso anônimo ao módulo de FAQ do sistema GLPi (Perguntas mais frequentes) na versão 9.3 do Sistema. Estando este recurso (Acesso anônimo) desativado, o sistema não apresentará a vulnerabilidade. Mesmo que você esteja utilizando a versão 9.3, o que contradiz o título sensacionalista da postagem. Caso esteja utilizando uma versão anterior (9.2 ou mais antiga), também não estará em risco, não sendo este então, o motivo para uma migração.

Como eliminar o risco na versão do GLPi 9.3

A eliminação deste risco na versão 9.3 do GLPi é bem simples. Como dito, basta desabilitar o acesso anônimo a FAQ.

Acesse o sistema GLPi com uma conta de Administrador. Agora, acesse “Menu principal > Configurar > Geral”

Logo na primeira aba do sistema “Configuração geral” está a opção. Basta garantir que esta esteja marcada como “Não”.

NOTA: Os Clientes da Verdanatech não precisam se preocupar com este BUG pois já foi realizada uma checagem em todas as bases antes mesmo que a notícia tivesse sido divulgada pela Tecmundo.

E para os que precisam deste recurso?

Mesmo não tendo encontrado nenhum Cliente ou Parceiro que utilize deste recurso, entendemos que a não utilização deste está longe de ser uma verdade absoluta. Tanto que ele existe e o pesquisador encontrou esta vulnerabilidade usando este recurso.

Para aqueles que utilizam deste recurso em produção e que precisem mantê-lo ativo por alguma dependência, não há melhor caminho senão a atualização do sistema para a versão mais recente, tendo em vista que um “Downgrade” não é algo viável para o GLPi.

Mas antes de executar esta tarefa, recomendo ao leitor prosseguir com a leitura deste artigo para que tire suas próprias conclusões.

Migra ou não migrar? Eis a questão!

Já entendemos então que, apenas a existência dessa vulnerabilidade pode não justificar a necessidade pela migração do sistema GLPi.

Mas abaixo, coloco considerações que podem auxiliar a sua tomada de decisão para a migração do sistema GLPi para uma nova versão:

1 – A vulnerabilidade, tal como identificada e documentada, afeta apenas sistemas 9.3. Sistemas anteriores (9.2) e posteriores (9.4) não possuem a falha. Logo, não é necessário atualizar por conta da falha.

2 – A falha é passiva de exploração, apenas se a opção de exibir FAQ para acessos anônimos for habilitada. Caso não use e não dependa deste recurso em seus Processos de Negócio, a atualização também não é necessária.

3 – É importante e responsável levar em consideração que, assim como a Teclib não lança mais atualizações para a versão 9.2, dificilmente lançará uma nova atualização para a 9.3. Então, é comum que bugs como estes sejam corrigidos apenas nas novas versões, 9.4 em diante. Dificilmente a versão 9.3 receberá uma nova atualização por parte da Teclib, mesmo sendo ela de segurança, tal qual foi o caso da 9.3.4.

4 – O Sistema GLPi está em sua versão 9.4.3 atualmente. Embora pareça ser (e dependendo da circunstância, é de fato) uma boa prática manter as versões mais recentes em produção, pois já tiveram Bugs corrigidos, é importante entender que as novas versões possuem obstáculos ainda a serem identificados e outros que já foram identificados e que ainda precisam ser corrigidos.

Precisamente hoje, 12 de julho de 2019, dando uma rápida olhada no repositório do projeto GLPi, temos mapeadas mais de 380 Issues (relatos de problemas a serem resolvidos na versão mais recente). Destes, 62 estão classificados como BUG (erro reconhecido do sistema). Claro que, provavelmente nenhum deles seja de segurança e de tamanha importância como o aqui descrito. Mas, quantos deles podem lhe atrapalhar a produzir no dia a dia?

O ideal é ter cautela e sensatez na hora de pensar e planejar a atualização do sistema entre suas versões. Muitas considerações devem ser observadas, aqui citamos algumas:

1 – Os processos que sua Central de atendimento executa, estão garantidos na nova versão sem impacto para os analistas, usuários e clientes?

2 – Os plugins que você utiliza, já foram portados e estão livres de novos BUGs que surgem entre a mudança de uma versão para outra?

3 – Você já deu uma lida no GIT do projeto e pesquisou se existe algum BUG já reportado pela nova versão e que pode atrapalhar você?

4 – Os novos recursos da nova versão, agregam valor aos Processos de Negócio da sua Central de Serviços ou para seus Clientes?

5 – Havendo algum recurso novo e interessante presente na nova versão, já o testou e homologou para a produção na sua Central de Serviços? Se sim, já tem a documentação deste processo para orientar seus analistas e usuários? Caso não, recomendo ainda assim esperar a documentação para realizar o upgrade. Pode ser que neste tempo alguém ache algo errado que você não viu.

E como proceder quando já fui de uma versão para outra?

Para aqueles que já migraram por impulso (não questionaram “Preciso mesmo fazer o Upgrade URGENTE de meu GLPi?”) , necessidade de negócio ou por que simplesmente começaram a usar o sistema agora e já iniciaram na nova versão que estava disponível, a recomendação é que siga o ciclo de desenvolvimento do sistema. Ou seja, continuem atualizando da 9.4.0, para a 9.4.1, 9.4.2, 9.4.3 e, quando disponível, a 9.4.4… e assim siga até o fim do ciclo da 9.4.

É válido sempre ressaltar que, mesmo indo de uma versão para outra dentro do mesmo ciclo (9.4.2 para a 9.4.3), o processo deve obrigatoriamente ser planejado, testado e um plano de rollback montado para garantir o sucesso do negócio.

Quando lançarem a 9.5, todas as dicas anteriores são bem vindas para considerarem a realização de uma migração com menor impacto.

Conclusão – Preciso mesmo fazer o Upgrade URGENTE de meu GLPi?

Migrar, por simplesmente migrar, ou com base em apenas uma única ou poucas fontes de pesquisa ou notícia pode não ser a melhor saída. O Gerenciamento de Mudança é um processo muito importante e deve ser respeitado e entendido pela equipe técnica para garantir o menor impacto sobre a produtividade da Empresa.

Ao mesmo tempo, dado o modelo de desenvolvimento do sistema GLPi, a migração é um caminho certo, só não há regras para o prazo. Portanto, mesmo que não considere migrar agora, um dia isso será necessário sem sombra de dúvidas. Para este caso, é necessário ficar atento à descoberta de novas falhas e, se possível, sempre testando e atualizando processos de trabalho para as novas versões para que se garanta uma migração com menor impacto quando esta for inevitável.

Os profissionais de TI devem estar atentos as notícias que correm nas redes. Mas também devem ter capacidade técnica e administrativa de questioná-las, até mesmo este post deve ser questionado se lhe atende ou não.

Não há receitas de bolo para a vida real. Não há alguém melhor que você para responder a pergunta “Preciso mesmo fazer o Upgrade URGENTE de meu GLPi?”. É necessário esforço, dedicação, conhecimento de causa e cautela, muita cautela.

Espero que este post tenha ajudado a você, mesmo que seja para aguçar o senso crítico.

Um grande abraço, fique com Deus, paz e sucesso!