Etant donnée que tous nos Dolibarr client ne sont pas accessibles directement par Internet mais uniquement au travers d’un VPN, cela réduit la voilure de façon très conséquente des angles d’attaques en cas de faille de sécurité. L’équipe de dev étant une ressource très limité et vu l’ampleur du projet, on ne va sûrement pas ‹ tirer sur le pianiste ›.
Et dans ce sens, je suis complètement d’avis à 500% qu’une seule version tous les ans serait largement suffisant. Debian sort bien une version tous les 2 ans. Le nombre d’attaques depuis la pandémie et dans le contexte géopolitique actuel, ne fait qu’augmenter. Renforcer la sécurité au lieu de développer de nouvelles fonctionnalités ne me paraîtrait pas aberrant. Dolibarr est déjà bien achalandé comme ça.
Bonsoir, je pense que le plus gros souci est un manque de communication… Mais je ne le dis pas trop fort, la dernière fois que j’en ai parlé, @atm-maxime m’a proposé de m’en occuper… Je ne suis pas contre mais il faudra attendre encore une trentaine d’années que je sois à la retraite (j’ai 54 ans…)
Hello les experts,
Je suis un peu perdu sur ce que je dois faire avec cette faille de sécurité.
D’ordinaire, je n’ai qu’à migrer vers la version supérieure.
Mais là il semblerait qu’il faille le faire à la main ?
Quand je clique sur le lien donné plus haut, ça ouvre le fichier dans Github et je sais pas quoi faire avec ça ? Je sélectionne tout, je copie-colle dans l’ancien fichier… c’est ça ?
Et aptès je peux reprendre le cours normal des migrations ?
Désolé d’être l’idiot de service, mais un coup de main ne serait pas de refus.
Je suis en version 16.0.3, quelqu’un pourrait-il me guider précisément sur les actions à mener ?
Merci d’avance.
Un non expert, visiblement
Merci pour la correction sur cette faille de sécurité dans un laps de temps au top !
Je me permets quelques pistes pour effectivement être alerté rapidement :
1 - La création d’un forum dédié à la sécurité où il est possible d’être alerté sur tous les nouveaux sujets. Création de post uniquement possible par les personnes habilitées à le faire
2 - Si pas possible, un sujet dédié aux alertes de sécurité qui recences les posts sur le sujet et qui permet à chacun de recevoir les notifications nécessaires. Là aussi création des messages uniquement par les personnes habilitées. → A mon avis la plus facile à mettre en place
Sinon un webhook sur github qui se déclenche sur certains tags et qui envoi un mailing
Du coup avec les suggestions précédentes, on voit que le message d’eric aurait alerté de fait tous les inscrits sans nécessité de plus de travail des uns et des autres.
Il faut bien distinguer 2 choses : l’association et la communauté.
L’association a pour objet la promotion de Dolibarr, et cela passe par la mise en place et le maintient d’outils (site web, dolistore, wiki, …), la présence sur des salons, l’organisation d’événements, …
La communauté a pour objectif de développer techniquement le logiciel (code, tests, traductions, …)
Je te rejoins que pour les 2, la communication peut être améliorée. Mais dans ce cas précis, c’est pour moi la communauté qui est concernée, pas l’association. Donc n’importe quel membre peut (comme l’a fait Éric via le forum) alerter sur la découverte d’une faille de sécurité. Ensuite le canal de communication est à voir, certains diront forum, d’autres mailing, d’autres Discord, …
J’ai noté le sujet à l’ordre du jour de notre prochaine réunion pour voir quel « outil » l’asso pourrait mettre en place pour améliorer cette communication.
il y a déjà tout ce qu’il faut, ajoutons un peu de ressources au bout du canal d’alerte security (en bref: qui est « au bout du fil » de: Security Overview · Dolibarr/dolibarr · GitHub, c’est la qu’il faut ajouter des bras qui se chargeraient de créer le bug et surtout de lui affecter le tag security … ensuite il suffit qu’on soit abonné au fil de ces bugs et tout est ok).
éventuellement un tag « security » sur le forum pour pouvoir relayer l’information et ça sera déjà très bien
@pascal_z : peux tu nous faire une capture d’écran et du lien qui ne marche pas chez toi ? car j’ai cliqué sur tous les liens qui semblent fonctionnels …
Je pense que c’est un problème de droits d’accès à la page. Visiblement github renvoie une erreur 404 si l’accès à la page est interdit au lieu de renvoyer une erreur 403.
Merci @erics pour cette initiative car en effet si on connais pas les canaux d’alertes on a pas l’info ! Heureusement que j’essaye de toujours jeter un oeil aux mails de résumé de ce qu’il s’est passé sur le forum et que c’était au somment des sujets populaires !
Je me débrouille un peu près avec les développements mais alors le github j’y comprend rien…
Il y en a pas un qui veut voudrait bien faire un poste spéciale : « Je sais faire mon module dolibarr mais je suis handicapé du github qu’est ce que je dois faire? »
Je mets tout de suite un rappel dans l’agenda pour ce soir pour appliquer le correctif
@agi c’était l’objet de la 2° partie de ma réponse à @atm-maxime mais peut-être que @ksar a les supers-pouvoirs sur le forum : ajouter un « tag » (étiquette) (ou même un « espace ») dédié « alertes sécurité » …
Ainsi les gens qui seraient « au bout du fil » security github pourraient « faire suivre » l’info sur le forum et si ce ne sont pas les mêmes personnes c’est pas grave tant qu’on peut « ajouter » le tag même à posteriori
Question bête, on pourrait pas faire afficher un message ou une alerte dans Dolibarr lorsqu’une mise à jour est disponible dans la version actuellement installée, en particulier quand c’est pour corriger quelque chose d’important ?
@AGI, ton idée me plait bien, c’est vrai qu’un message alerte de sécurité directement dans dolibarr serait une bonne fonctionnalité, notamment pour les utilisateurs qui ne consultent pas ou peu le forum.
C’est ce que fait dokuwiki : un petit bandeau visible uniquement aux administrateurs pour informer d’une nouvelle version avec un lien vers la page qui explique ce qu’il y a dans cette version…
