Projet

Général

Profil

Actions

Anomalie #32258

ouvert

Alerte sécurité PHP

Ajouté par Jean-Yves LE GUENNEC il y a 2 mois. Mis à jour il y a 3 jours.

Statut:
Résolu
Priorité:
1-Majeur
Version cible:
Maarch Courrier - 2301.4.3 (Maintenance corrective)
Début:
28/01/2025
Echéance:
Pôle Maarch:
Support N2

Description

Bonjour,

Je reçois ce jour une alerte CYBERWATCH identifiant une faille de sécurité sur PHP, demandant expressément le passage en 8.1.31.
Nos 2 serveurs sont concernés : TST et PROD. Version installée : 8.1.2

Christophe à identifié sur les serveurs :
Php8.1-common
Php8.1-cli
Php8.1-curl
Php8.1-gd
Php8.1-imap
Php8.1-ldap
Php8.1-mbstring
Php8.1-opcache
Php8.1-pgsql
Php8.1-readline
Php8.1-soap
Php8.1-xml
Php8.1-xsl (!)
Php8.1-zip

Pouvez vous SVP organiser la montée de version pour résoudre cette faille de sécurité.
Je vous remercie.

Cordialement,


Fichiers

Mis à jour par Rached BEHIRY il y a 2 mois

  • Statut changé de A qualifier à A traiter
  • Assigné à Support Maarch supprimé
  • Pôle Maarch changé de Support N1 à Support N2

Bonjour,

Votre demande a été transmise à nos équipes techniques pour analyse.
Nous reviendrons vers vous dans les plus brefs delais.

Cordialement

Mis à jour par Paul DURAND il y a environ 2 mois

  • Assigné à mis à Paul DURAND

Bonjour,

Quand êtes-vous disponible afin de planifier une intervention sur vos serveurs ?

Cordialement,

Mis à jour par Jean-Yves LE GUENNEC il y a environ 2 mois · Edité

Bonjour,
Merci de votre réponse.
Cette intervention nécessite-t-elle un arrêt de service, et si oui de combien de temps ? Un redémarrage ?
Est-il nécessaire de prévoir une phase de recette ou la modification est-elle basique et sans danger ?
Idéalement, on procèderait d'abord en tests, pour faire 2 ou 3 essais, avant de reproduire en production.
Je vous remercie.
Cordialement,

Mis à jour par Paul DURAND il y a environ 2 mois

Jean-Yves LE GUENNEC a écrit (#note-3):

Bonjour,
Merci de votre réponse.
Cette intervention nécessite-t-elle un arrêt de service, et si oui de combien de temps ? Un redémarrage ?
Est-il nécessaire de prévoir une phase de recette ou la modification est-elle basique et sans danger ?
Idéalement, on procèderait d'abord en tests, pour faire 2 ou 3 essais, avant de reproduire en production.
Je vous remercie.
Cordialement,

Bonjour Mr Le Guennec,

cette opération devrait se dérouler durant environ 30 minutes.

Il faudrait tester avant en recette puis en prod par pure précaution.

Notre application suis déjà les mis à jour de sécurité. De ce fait il n'y aura aucun impact.

Le seul redémarrage qui nécessaire est le "Apache2" pour la pris en compte de la nouvelle version PHP.

Vous n'avez pas besoin de faire d'intérruption de service. Cela n'aura pas d'effet sur l'application.

Cordialement

Mis à jour par Paul DURAND il y a environ 2 mois

  • Statut changé de A traiter à Complément d'Informations
  • Assigné à changé de Paul DURAND à Jean-Yves LE GUENNEC

Mis à jour par Jean-Yves LE GUENNEC il y a environ 2 mois

Bonjour,
OK, pour la modif, vous pouvez le faire maintenant ou demain, a votre convenance, sur LA BASE DE TEST.
Vous pouvez vous connecter via le bastion de télémaintenance.
Je ferai faire les tests dans la foulée, et nous verrons pour une coupure sur la production à ce moment la.
Merci.
Cordialement,

Mis à jour par Paul DURAND il y a environ 2 mois

Jean-Yves LE GUENNEC a écrit (#note-6):

Bonjour,
OK, pour la modif, vous pouvez le faire maintenant ou demain, a votre convenance, sur LA BASE DE TEST.
Vous pouvez vous connecter via le bastion de télémaintenance.
Je ferai faire les tests dans la foulée, et nous verrons pour une coupure sur la production à ce moment la.
Merci.
Cordialement,

Très bien.

J'interviendrais demain matin pour 9h.

Je vous informerais lorsque j'aurais fini sur votre serveur de recette.

Cordialement

Mis à jour par Jean-Yves LE GUENNEC il y a environ 2 mois

Bonjour,
Avez vous toujours le projet de vous connecter ce matin pour cette modification.
Nous avons fait un snapshot de la machine de tests. Nous attendons votre intervention pour tester.
Cordialement,

Mis à jour par Paul DURAND il y a environ 2 mois

Jean-Yves LE GUENNEC a écrit (#note-8):

Bonjour,
Avez vous toujours le projet de vous connecter ce matin pour cette modification.
Nous avons fait un snapshot de la machine de tests. Nous attendons votre intervention pour tester.
Cordialement,

Bonjour,

J'ai eu malheureusement un contretemps.

Cependant j'ai tenté de me connecter sur le serveur de test mais je ne peux pas (cf capture d'écran).

Est-ce que le mot de passe à changé ?

Cordialement

Mis à jour par Jean-Yves LE GUENNEC il y a environ 2 mois

Bonjour,
Le mot de passe à été changé récemment par M Behiry qui s'est connecté récemment.
Avez vous échangé avec lui.
Cordialement,

Mis à jour par Paul DURAND il y a environ 2 mois

Jean-Yves LE GUENNEC a écrit (#note-10):

Bonjour,
Le mot de passe à été changé récemment par M Behiry qui s'est connecté récemment.
Avez vous échangé avec lui.
Cordialement,

Monsieur Behiri a dû effectivement utliser le portail pour ce connecter à l'application Maarch Courrier.

Cependant, je cherche de mon côté à accéder au serveur de test qui utilise un autre mot de passe.

Serait-il possible de le réinitialiser s'il vous plaît ?

Cordialement,

Mis à jour par Jean-Yves LE GUENNEC il y a environ 2 mois

  • Statut changé de Complément d'Informations à A traiter
  • Assigné à changé de Jean-Yves LE GUENNEC à Paul DURAND

Mis à jour par Paul DURAND il y a environ 2 mois

Bonjour,

Pour plus d'explication sur le soucis de mot de passe, veuillez trouvez ci-joint un GIF.
Cela concerne donc non pas la connexion au compte Wallix en lui même mais sur le serveur que l'on accède via la plateforme.

Vous devez avoir quelqu'un qui peux réinitialiser ce mot de passe ?

Cordialement,

Mis à jour par Paul DURAND il y a environ 2 mois

  • Statut changé de Complément d'Informations à A traiter
  • Assigné à changé de Jean-Yves LE GUENNEC à Paul DURAND

L'accès au serveur Test est de nouveau bon.

J'interviendrai demain matin à 9h30.

Mis à jour par Paul DURAND il y a environ 2 mois

  • Statut changé de A traiter à Planifié

Mis à jour par Paul DURAND il y a environ 2 mois

  • Statut changé de Planifié à Complément d'Informations

Bonjour,

Tentative de connexion sur le serveur Ok.

Je n'ai pas les droits afin de mettre à jour.

En attente de mis à jour.

Mis à jour par Paul DURAND il y a environ 2 mois

Message envoyé par mail :

*Je suis intervenu sur le serveur de test où j'ai voulu mettre à jour à la version 8.1.31.

Mais la dernière version disponible actuellement sur votre serveur est celle déjà installé 8.1.2-1ubuntu2.20.

Je peux mettre à jour à la version supérieure (8.1.31) mais cela nécessitera l'ajout d'un nouveau dépôt qui s'appelle "Ondřej Surý PPA" afin de récupérer les sources.

Étant donné que c'est un dépôt externe cela nécessite votre autorisation pour que je puisse faire les modifications nécessaires.*

En attente d'accord. La mis à jour sera ensuite faite.

Mis à jour par Paul DURAND il y a environ 2 mois

  • Assigné à changé de Paul DURAND à Jean-Yves LE GUENNEC

J'ai effectué la mis à jour avec l'accord du client suivant:

  • Ajout du dépôt ppa:ondrej/php qui permet d'installer une version supérieur de PHP (version sur le serveur actuelle => 8.1.20).

  • Mis à jour de PHP et dépendances comme indiqué dans la demande. Nouvelle version => 8.1.31.

  • Redémarrage du serveur Apache2.

Aucun problème detecté.

En attente d'un retour afin de savoir si tout est bon.

Mis à jour par Jean-Yves LE GUENNEC il y a environ un mois

  • Assigné à Jean-Yves LE GUENNEC supprimé

Bonjour,
Des régressions constatées par les utilisatrices. (impossibilité de signer ou de demander un avis d'afficher des imagette ...)
Je fais faire une restauration au 7 février.
En attente de réévaluation CD45, mais en l'état le problème persiste
Cordialement,

Mis à jour par Arnaud PAUGET il y a environ un mois

  • Assigné à mis à Jean-Yves LE GUENNEC

Bonjour M. LE GUENNEC,

Pouvons-nous avoir des détails sur les erreurs rencontrées ? Des messages d'erreurs ou capture d'écran ? Il est étonnant qu'une version mineure de php puisse "casser" autant des fonctionnalités de l'application Maarch Courrier.

Confirmez-vous que le problème n’apparait plus après le rollback de la version de php ?

Mis à jour par Jean-Yves LE GUENNEC il y a environ un mois

La remontée des utilisatrices est clair :
"Bonjour Jean-Yves. Je confirme les observations de Mélanie. Il est très difficile de tester dans Maarch Test, nous avons de nombreux bugs, notamment la synchronisation avec Maarch Parapheur"
"J'ai essayé avec un modèle Maarch, ainsi qu'un courrier nativement en PDF ( simple sans de particularité le pdf), nous avons systèmatiquement ce message d'erreur."
2 autres exemples en annexe.

Nous avons restauré la VM, et les problèmes n'apparaissent plus.

PS : compte tenu de la formation, à venir, pas possible de bouger la base de tests prochainement (c'est d'ailleurs pour ca que nous n'avons pas investigué davantage).

Mis à jour par Rached BEHIRY il y a 3 jours

  • Statut changé de Complément d'Informations à Résolu

Bonjour,

Votre demande est "complément d'informations" depuis plus de 30 jours.
Elle passe donc en "Résolue"

Cordialement

Mis à jour par Rached BEHIRY il y a 3 jours

Bonjour,

Votre demande est "complément d'informations" depuis plus de 30 jours.
Elle passe donc en "Résolue"

Cordialement

Actions

Formats disponibles : Atom PDF