Hello,
Mais entre deux maj il peut se passer plusieurs années. Avec la solution du mot de passe, on prend un risque : il se passe quoi quand l’employé-administrateur se fait virer, part, décède, est en burnout ?
A plus
Le cas est prévu, il suffit de changer le mot de passe en modifiant le fichier de config.
j’avais donné mon avis il y a deux mois sur le sujet ici : Faille de sécurité 15.0.3 - #9 par defrance
Ce qui me gave c’est qu’alors tout le monde en avait rien à fiche, il a fallut que l’on poste une publication sur cette faille pour que l’on se décide ENFIN à prendre les choses en main…
Posez-vous un moment certaines questions …
1 « J'aime »
Oui, c’est une des faiblesses des projets réellement open source. Il faut pas mal discuter, faire des consensus, mettre tout le monde d’accord pour qu’enfin les choses bougent.
Après, il y a aussi le fait que certains ne se sentent pas concernés ou n’ont tout simplement pas conscience des problématiques soulevées.
Il faut voir maintenant comme l’on peut avancer sur ce sujet en faisant une PR sur Github sachant qu’il faudrait à mon sens :
- ajouter une vérification dans
admin/system/security.php - permettre de gérer le mot de passe spécifique à l’installeur dans
/admin/security.php - lors d’une mise à jour de Dolibarr, si le mot de passe n’est pas défini, proposer de le définir
- permettre de définir le mot de passe lors de la première installation de Dolibarr
Gérer l’ensemble des problématiques liées à la suppression automatique du fichier qui pourrait permettre d’activer l’installeur plutôt que de le désactiver.
Bonjour,
Je fais toujours ça comme tous les utilisateurs. Mais en même temps je bloque toutes les connexions sauf celle de mon IP à l’aide d’un fichier htaccess le moment de la MàJ.
Je pense que cela suffit pour protéger mon doli ?
Cdt,
Djaber
1 « J'aime »
C’est une bonne solution tant qu’il n’y a pas d’autre personne utilisant la même IP (réseau d’entreprise, bureaux, écoles, associations, etc.) mais il faut y penser 
2 « J'aime »
Bonjour,
Perso je fais intégrer dolibarr à mes clients sans qu’il soit connecté à internet, uniquement en local. Et si le client souhaite y accéder depuis n’importe ou dans le monde, je paramètre un accès vpn avec une politique de sécurité. Aujourd’hui il faut considérer dolibarr comme une application « sensible » et recommander une installation privée et non publique
Et que les IP cela s’usurpe assez facilement. Mot de passe reste la meilleure solution 
toute protection par IP est bancale.
Et que les IP cela s’usurpe assez facilement.
En TCP, c’est quand même pas si simple en pratique, mais ton message est juste : il ne faut pas considérer l’IP comme une preuve d’identité.
Un module gratuit du dolistore permet de mettre en place le fichier install.lock et les droits sur le fichier conf.php
3 « J'aime »
Bonjour,
La V16.0.3 intègre déjà quelques correctifs qui bloquent principalement la deuxième partie de l’attaque, qui permettait de prendre le contrôle du serveur.
Par contre, le script d’install est toujours vulnérable sans install.lock.
Bonjour à tous
Une bonne pratique serait d’ajouter un fichier .htaccess pour n’autoriser le dossier install qu’à certaines adresses ip. Certes c’est pas natif Dolibarr mais ça sécurise dur !
# Restriction des adresses IP
# Ordre de priorité des instructions : refuser puis autoriser
Order Deny,Allow
# On n’autorise personne à accéder au site…
Deny from all
# …Sauf l’adresse IP x.x.x.x
Allow from x.x.x.x
A noter que tout intégrateur doit se poser la question de la sécurité sans faire une confiance à Dolibarr. La faille peut venir du serveur aussi, des droits…
Quand je vois l’état de certaines installations « maison » ça fait peur !
@+
Oui c’est vrai, il faut importer le .htaccess dans le nginx.conf il me semble.
Après l’installation il suffit de supprimer le dossier htdocs/install et il n’y a plus de problème d’accès à ce dossier.
Non car certaine tables sont creer à l’activation des modules (comme le module ticket) et les fichiers de création sont dans htdocs/install. Et aprés comment vous faites les mise a jour de Dolibarr ?
Pour une mise à jour il y a un nouveau dossier install de créé qui provient de la nouvelle version.
Quand à l’installation des modules, une fois dolibarr configuré ce n’est pas une opération qu’on fait tous les jours, rien n’empêche de remettre en place le dossier provisoirement en cas de besoin.
Le maillon faible étant le dossier install, il est logique pour moi de le supprimer une fois qu’il n’est plus nécessaire.
Mais comme déjà évoqué si Dolibarr n’est utilisé que par un nombre de personnes restreint, on passe sur un réseau privé avec wireguard et on est tranquille.
je me cite,
Il faut toujours apprendre de ce que font les autres, j’ai installé un wordpress et tenté de relancer l’installation pour créer un nouveau compte admin, cela est naturellement impossible.
A titre d’info dans les principes de déclaration de faille, il n’est pas expressément notifié qu’il faille ajouter ce fichier.
Je vais donc voir comment empêcher la création d’un nouveau compte admin si il y en a déjà un en activité, même si le fichier install.lock (et le fichier conf.php) est déjà présent.
Il n’y a rien besoin de plus…
1 « J'aime »
ce n’est pas le seul problème; dans l’absolu il faudrait pouvoir avoir un écran (?) qui permette de basculer en mode maintenance en indiquant une IP autorisée ou un système équivalent qui marche aussi bien avec Apache que nginx.
Parce que sinon, il faut prier que personne n’essaye d’accéder à Dolibarr au milieu d’une migration…
(bien sûr les geeks comme nous vont jouer sur le htaccess ou le paramétrage de nginx pour faire cela, mais ce n’est pas donné à tout le monde… et il faut ne pas oublier de le faire)
