Incident de sécurité - Module GRH

pedro · Juillet 6, 2019, 7:41

Bonjour,

Après installation de Dolibarr, je constate qu’il y a une faille majeure sur le fonctionnement des suivies des demandes de congés.

Un utilisateur lambda sans avoir les autorisations peut accéder à toutes les demandes de congés de ses collaborateurs.

Avez vous une solution pour résoudre la faille très rapidement ?

Version actuelle de Dolibarr (Programs) 9.0.1

Bien à vous,

Pedro Sanchez

Philazerty · Août 22, 2019, 5:05

Bonjour
Quand on pense avoir trouvé un bug on suit la procédure www.dolibarr.fr/forum/t/bug-trouve-message-type-a-lire/30233/1 et surtout on met à jour sa version en 9.0.5 par exemple car c’est peut être corrigé depuis.
@+

jtraulle · Août 22, 2019, 5:40

Merci @philazerty pour la réponse

J’ajouterais que pour tous les problèmes potentiels de sécurité, il faudrait se conformer aux instructions disponibles ici :

github.com

Dolibarr/dolibarr/blob/develop/SECURITY.md

# Security Policy

## Supported Versions

| Version  | Supported          |
| -------- | ------------------ |
| <= 8.0.* | :x: |
| >= 9.0.* | :white_check_mark: |

## Reporting a Vulnerability

To report a vulnerability, please send an email to [email protected]
In most cases, after fixing the security, we make an answer by email to say the issue has been fixed.

Il faut donc envoyer les informations de façon privée à l’adresse email security [AT] dolibarr.org afin que la vulnérabilité rapportée ne soit pas divulguée publiquement avant qu’elle ne soit corrigée et qu’un temps raisonnable ne se soit écoulé pour laisser le temps à la communauté de mettre à jour ses instances installées.