Cette version corrige un certain nombre de failles de sécurités. Il est INDISPENSABLE de mettre à jour vos Gepi en production avec cette nouvelle version, le plus rapidement possible.

Corrections de bugs ------------------- - Correction d'un bug d'affichage du graphique dans le script de visualisation des graphiques "classe par rapport à une autre classe". - Correction d'un bug dans la recopie de la stucture d'un carnet de notes d'une période à une autre. - Correction de failles de type cross site scripting (exécution de code javascript arbitraire). - Correction de failles de type SQL Injection. - Correction d'un bug pouvant entrainer un denis de service : envoyer autre chose qu'un nombre dans un des champs year, month, day, sur les pages publiques du cahier de texte provoquait une boucle infinie dans le code PHP. - Révision du système de sauvegarde des fichiers de backup (renforcement sécurité) Nouvelles fonctionalités ------------------------- - Amélioration de la protection par bloquage temporaire des comptes sur lesquels sont effectuées un nombre répété de connexions infructueuses (paramétrage possible) - Amélioration des logs : enregistrement des tentatives de connexion infructueuses (IP, date, login) - En cas de tentatives de connexions infructueuses sur un compte, avertissement de l'utilisateur lorsqu'il se connecte. - Changement du mot de passe : désormais, le mot de passe doit contenir à la fois des lettres et des chiffres. De plus, s'il ne s'agit pas d'un professeur ou d'un CPE (administrateur, secours, scolarité) il doit également contenir au moins un caractère spécial - GEPI étant configuré de manière à bloquer temporairement le compte d'un utilisateur après un certain nombre de tentatives de connexion infructueuses, un pirate peut se servir de ce mécanisme pour bloquer en permanence des comptes utilisateur ou administrateur. En cas d'urgence, possibilité, dans le fichier "config.inc.php", de forcer le débloquage des comptes administrateur et/ou de mettre en liste noire, une ou plusieurs adresses IP. - Ajouts de plusieurs fichiers d'établissements prêts à être importés dans GEPI. Ajout des types "Ecole" et "EREA". - Paramétrage de l'authentification du SSO dans Gepi (avec CAS ou LemonLDAP), page de Gestion des Connexions - Les paramètres de connexion à un serveur CAS sont localisés dans /lib/CAS/cas.sso.php - Possibilité de bloquer le SSO en dur par une variable dans /lib/global.inc - Ajout des nom(s) et prénom(s) de(s) l'élève(s) sur la fiche du responsable légal . ( Ajout dans la liste des responsables légaux, "/responsables/index.php" d'une colonne affichant le(s) nom(s) prénom(s) de(s) l'élève(s) - Affichage d'un message d'alerte sur la page d'accueil en tant qu'administrateur lorsque la connexion n'est pas en HTTPS et lorsque PHP est configuré avec register_globals=on