Bonjour,
Ma question n’a pas reçu de réponse directe, mais si je lis entre les lignes, la conclusion que j’en tire est, qu’à ce jour il n’existe pas de moyen de s’abonner à une mailing list (ou à un quelconque autre outil) pour être averti automatiquement qu’une faille de sécurité a été comblée.
@pascal_z je n’ai pas plus d’info que tout ce que j’ai pu noter ici 
j’étais également à la recherche de ce genre d’outils et le seul que je pensais fiable était les tags « bug security CVE » et « priority high blocking » sur le dépôt github pour lesquels j’ai un abonnement :
C’est pour ça que je pense qu’il s’agit d’un coup de fatigue / surcharge de l’équipe qui a les droits de poser des tags sur les bugs : le tag security n’a pas été associé au correctif tout simplement parce-qu’il n’y a pas eu de bug déclaré dans ce cas précis.
Souvent l’administratif passe en 2° plan quand on doit gérer l’urgence …
Bonjour,
Pas sympa ksar pour tous les développeurs de l’ombre…
Rien que chez Easya Solutions (OpenDsi), c’est 4 dev’ qui publient régulièrement (toutes les semaines) des patchs sur la v10 ou la v14 qui sont nos bases LTS pour respectivement Easya Solutions 2020 et 2022. il y a aussi les nouvelles fonctionnalités (develop).
Je ne me compte même pas dans les dev’, on me voit plus sur le forum a discuter car je m’accroche à la compta depuis 13 ans donc on imagine que je suis tout seul mais non loin de là.
Idem chez d’autres société prefered partner, il y a désormais des équipes de développement qui contribuent à Dolibarr donc Merci ! a eux (Kamel, Lionel, Thomas et Maximilien notamment et Laurent (eldy) également…)
Dolibarr étant plus grands tous les jours, plus vaste, il y a de quoi faire et Laurent fait de son mieux pour maintenir le projet dans une stabilité globale malgré toutes les demandes de modifications/ corrections / améliorations constantes.
L’association a d’ailleurs ouvert un bug bounty il y a quelques années et on a du reverser au bas mot 20k à 30k€ mais il se tari désormais car il est plus dur a chaque version de pirater Dolibarr. Celà n’empêche que c’est une vérification constante de tout le code qui est effectué et il peut y avoir des trous dans la raquette comme cette faille qui a fait un peu plus de bruit que les autres mais il y a déjà eu bien pire…
Fun fact : Nous avons par hasard trouvé hier qu’une image de Pierre Curie se trouvait aux tréfonds de Dolibarr jusqu’à encore récemment 
A vous de la trouver.
Mon seul regret et critique est que certaines discussions devraient être plus collégiales car des fois des PRs sont oubliés… Il faudrait que Laurent accepte un peu plus d’aide sur le sujet et dernier commentaire de ma propre réflexion, qu’on ralentisse les sorties ! Une fois par an suffirait et serait gage de qualité. Maintenant, nous sommes sur du mois de mars / septembre pour sortir et cela ne fera que s’allonger. Le pire a mon sens sont les versions paires car elles sortent durant les vacances d’été de tous les dev’ donc pas assez de revue, il faut attendre 4-6mois de plus pour un max de stabilisation mais je rassure, on en trouve même 1 an après … Pour exemple, entre la version 14.0.5 officielle et la branche 14 avec tous les patchs, c’est des centaines de correctifs supplémentaires mais nous sommes toujours en 14.0.5 pourtant.
En synthèse, le projet avance, se structure mais il y a du boulot quant à la communication et bien sûr des points à améliorer, il y en aura toujours !
Merci de votre soutien et toute aide est le bienvenue !
Bon week end a tout le monde 
et patcher vos Dolibarr ou faites vous assister !
Bonjour,
Désolé Alexandre, je ne voulais froisser personne.
Mon but n’était pas de faire une liste exhaustive, mais de dire que tout cela reposait sur finalement assez peu de personnes.
Tout à fait
C’était le sens de mon post initial, trop peu de monde et Laurent centralise trop de choses.
Entièrement d’accord.
Et Merci Alexandre pour ton travail et ta communication.
Bonjour à tous,
Etant donnée que tous nos Dolibarr client ne sont pas accessibles directement par Internet mais uniquement au travers d’un VPN, cela réduit la voilure de façon très conséquente des angles d’attaques en cas de faille de sécurité. L’équipe de dev étant une ressource très limité et vu l’ampleur du projet, on ne va sûrement pas ‹ tirer sur le pianiste ›.
Et dans ce sens, je suis complètement d’avis à 500% qu’une seule version tous les ans serait largement suffisant. Debian sort bien une version tous les 2 ans. Le nombre d’attaques depuis la pandémie et dans le contexte géopolitique actuel, ne fait qu’augmenter. Renforcer la sécurité au lieu de développer de nouvelles fonctionnalités ne me paraîtrait pas aberrant. Dolibarr est déjà bien achalandé comme ça.
Bon week end à tous
Bonsoir, je pense que le plus gros souci est un manque de communication… Mais je ne le dis pas trop fort, la dernière fois que j’en ai parlé, @atm-maxime m’a proposé de m’en occuper… Je ne suis pas contre mais il faudra attendre encore une trentaine d’années que je sois à la retraite (j’ai 54 ans…)
Hello les experts,
Je suis un peu perdu sur ce que je dois faire avec cette faille de sécurité.
D’ordinaire, je n’ai qu’à migrer vers la version supérieure.
Mais là il semblerait qu’il faille le faire à la main ?
Quand je clique sur le lien donné plus haut, ça ouvre le fichier dans Github et je sais pas quoi faire avec ça ? Je sélectionne tout, je copie-colle dans l’ancien fichier… c’est ça ?
Et aptès je peux reprendre le cours normal des migrations ?
Désolé d’être l’idiot de service, mais un coup de main ne serait pas de refus.
Je suis en version 16.0.3, quelqu’un pourrait-il me guider précisément sur les actions à mener ?
Merci d’avance.
Un non expert, visiblement
Bonjour a tous , et merci pour ces infos précieuse s,
est ce qu’un 16.0.5 est prévu pour corrigé ça ?
Bonjour à tous,
Merci pour la correction sur cette faille de sécurité dans un laps de temps au top !
Je me permets quelques pistes pour effectivement être alerté rapidement :
1 - La création d’un forum dédié à la sécurité où il est possible d’être alerté sur tous les nouveaux sujets. Création de post uniquement possible par les personnes habilitées à le faire
2 - Si pas possible, un sujet dédié aux alertes de sécurité qui recences les posts sur le sujet et qui permet à chacun de recevoir les notifications nécessaires. Là aussi création des messages uniquement par les personnes habilitées. → A mon avis la plus facile à mettre en place
Du coup avec les suggestions précédentes, on voit que le message d’eric aurait alerté de fait tous les inscrits sans nécessité de plus de travail des uns et des autres.
Je m’en vais patcher mes dolibarr
A+
Bonjour,
Il faut bien distinguer 2 choses : l’association et la communauté.
L’association a pour objet la promotion de Dolibarr, et cela passe par la mise en place et le maintient d’outils (site web, dolistore, wiki, …), la présence sur des salons, l’organisation d’événements, …
La communauté a pour objectif de développer techniquement le logiciel (code, tests, traductions, …)
Je te rejoins que pour les 2, la communication peut être améliorée. Mais dans ce cas précis, c’est pour moi la communauté qui est concernée, pas l’association. Donc n’importe quel membre peut (comme l’a fait Éric via le forum) alerter sur la découverte d’une faille de sécurité. Ensuite le canal de communication est à voir, certains diront forum, d’autres mailing, d’autres Discord, …
J’ai noté le sujet à l’ordre du jour de notre prochaine réunion pour voir quel « outil » l’asso pourrait mettre en place pour améliorer cette communication.
@atm-maxime n’allez pas inventer d’outil en plus
il y a déjà tout ce qu’il faut, ajoutons un peu de ressources au bout du canal d’alerte security (en bref: qui est « au bout du fil » de: Security Overview · Dolibarr/dolibarr · GitHub, c’est la qu’il faut ajouter des bras qui se chargeraient de créer le bug et surtout de lui affecter le tag security … ensuite il suffit qu’on soit abonné au fil de ces bugs et tout est ok).
éventuellement un tag « security » sur le forum pour pouvoir relayer l’information et ça sera déjà très bien
Bien sur, on ne va rien inventer ! Si Github est la bonne plateforme, alors on verra comment organiser l’info dessus et le process associé.
Le premier lien sur cette page n’est pas (ou plus) bon, il renvoie sur une 404
@pascal_z : peux tu nous faire une capture d’écran et du lien qui ne marche pas chez toi ? car j’ai cliqué sur tous les liens qui semblent fonctionnels …
Pour info (et probablement fin de ce fil d’échanges) la 16.0.5 est sortie hier
@ekimia @Magicglide et les autres ça devrait vous simplifier la vie pour la mise à jour qui corrige au passage ce bug
C’est le lien ci dessous
Je pense que c’est un problème de droits d’accès à la page. Visiblement github renvoie une erreur 404 si l’accès à la page est interdit au lieu de renvoyer une erreur 403.
Bonjour à tous,
Merci @erics pour cette initiative car en effet si on connais pas les canaux d’alertes on a pas l’info ! Heureusement que j’essaye de toujours jeter un oeil aux mails de résumé de ce qu’il s’est passé sur le forum et que c’était au somment des sujets populaires !
Je me débrouille un peu près avec les développements mais alors le github j’y comprend rien…
Il y en a pas un qui veut voudrait bien faire un poste spéciale : « Je sais faire mon module dolibarr mais je suis handicapé du github qu’est ce que je dois faire? » 
Je mets tout de suite un rappel dans l’agenda pour ce soir pour appliquer le correctif
Encore merci !
@agi c’était l’objet de la 2° partie de ma réponse à @atm-maxime mais peut-être que @ksar a les supers-pouvoirs sur le forum : ajouter un « tag » (étiquette) (ou même un « espace ») dédié « alertes sécurité » …
Ainsi les gens qui seraient « au bout du fil » security github pourraient « faire suivre » l’info sur le forum et si ce ne sont pas les mêmes personnes c’est pas grave tant qu’on peut « ajouter » le tag même à posteriori
Je peux ajouter un tag, mais @eldy semble vouloir faire autrement.
Pour le moment, on attend une « instruction »
