Bonsoir,
Mise à jour faite.
Merci pour la réactivité.
Et ça me fait une bonne occasion pour me connecter sur la nouvelle communauté.
Habib
Oui tu as raison,
Le problème s’est résolu en redémarrant ma smart
1 « J'aime »
Sauf que le code (et le commit en question) est public sur github … ce qui fait que vous partagez publiquement la correction et donc la faille de sécurité …
Pas très malin sachant que les utilisateurs vont mettre des jours, des semaines, voire des mois pour certains à la faire … (et oui, ils ont appris à être frileux sur les majs)
1 « J'aime »
Bonjour @dinode78,
C’est l’inconvénient de l’avantage de l’opensource.
La sécurité par l’obscurité ou par la transparence ?
L’équipe Jeedom a corrigé très rapidement et à bien communiqué.
Il me semble que la responsabilité est maintenant plutôt du coté de l’utilisateur sensibilisé et avisé pour mettre à jour ASAP.
akenad 
bonjour
maj en 3.38 effectuée sans souci
par contre j ai 1 connexion en adsl pour ma box et donc pour mon jeedom mais un 4G pour accéder depuis mon telephone via l appli mobile
dois je activer l option 4G dans jeedom ?
merci
le core est publique c’est comme ça, mais on est pas obligé d’exposé a tout le monde comment le faire 
Bonjour,
Je viens de passer ma Jeedom sur la dernière version (3.3.38). A la fin de la mise à jour j’ai eu une erreur 500 et maintenant j’arrive sur une page blanche, que j’appelle depuis le dns ou depuis l’ip interne.
Que dois-je faire pour retrouver un accès à mon dashboard ?
Merci d’avance
Salut,
Il serait préférable de créer un nouveau post pour ne pas polluer celui-ci.
As-tu redémarré ta box jeedom?
J’ai redémarré la jeedom en effet et le problème persiste.
J’ai ouvert un autre topic pour ne pas polluer ici :
Merci
Bravo la team ! je suis en V3, j’ai coché la case 4G et j’ai changé la passerelle qui était ma box ADSL pour la remplacer par ma box 4G, maintenant l’accès distant fonctionne en 4G !!
Génial !
Mon Jeedom en 4.0.27 ne voit pas la mise à jour quand je fais « Vérifier les mises à jour ».
Idem après reboot.
Bon c’est pas urgent, j’y accède par VPN et j’ai bien les mises à jour des autres plugins. Mais j’aime bien être à jour 
ah oui enfin !! je regardais les tutos pour faire comme les autre avec raspberry…mais cela avait l’air compliqué !! maintenant j’accède direct a mon jeedom ! Merci pour ça ! et les caméras sur imperihome sont de nouveau accessible depuis l’extérieur !
Ouch, en effet, il y avait une belle XSS (permetant un local file inclusion d’ailleurs)
Evidemment, comme le dit @dinode78 , la sécurité par l’obscurantisme n’est pas bon. La correction se trouve ici :
2 « J'aime »
Mmmhhh…
Je ne sais pas si vous vous êtes relus ?
La correction est donnée publiquement. Donc la faille est exposée publiquement !
Après, que des personnes sachent exploiter la faille, c’est autre chose, mais à partir du moment où la faille est publique, il y a une obligation d’informer les utilisateurs.
Un post sur le blog et ce forum ne sont à mon sens pas suffisants.
N’avez-vous pas moyen d’envoyer une notification sur les jeedom des utilisateurs ?
Ou encore de pousser une maj de sécurité de ce type ?
D’ailleurs, en parlant de failles de sécurité, un ou des audits ont-ils déjà été réalisés sur le code de Jeedom ? (Par des organismes indépendants et/ou habilités à le faire)
Tu as acheté une box Jeedom ?
Tu as payé pour avoir un service ? Les propriétaires de smart ont reçu des mails et/ou des notifications. Je vois pas ce qu’ils auraient pu faire de plus. Ils l’ont dit partout. Le problème a été relever par un utilisateur qqs dizaines d’heures avant… Et corrigé dans la foulée. Difficile de faire mieux.
Et alors ? On est obligés d’acheter un Service Pack pour être prévenus ?
Je suis persuadé qu’il y a plus d’utilisateurs qui ont la version Community de Jeedom, et achètent seulement quelques plugins…
Les installations Jeedom des utilisateurs étant connectées au market, l’équipe Jeedom doit bien en avoir la liste exhaustive. Et donc un système de notification push doit certainement être possible.
Je ne dis pas le contraire, ça a été identifié et corrigé rapidement. Mais la correction étant publique, la faille est publique, donc si la maj n’est pas faite sur les Jeedom des utilisateurs, leurs installations sont vulnérables. S’agissant d’un système domotique, relativement critique pour certains, la maj pourrait être poussée, comme le fait Free sur ses Freebox en cas d’alerte de même type.
Bon je te conseille de te calmer
Ce forum est convivial et se doit de le rester
D’ailleurs je ne crois pas que ce forum soit un services de jeedom SAS
Donc si tu veux te plaindre ouvre un ticket chez Jeedom
Ha mince tu n’a pas de box tu ne peux pas… car tu
utilises gratuitement leur logiciels sur lequel ils bossent tous les jours pour t’offrir toutes ces fonctionnalités
Donc tout ça pour dire que jeedom ne te dois rien …
Je bosses depuis des années dans l’informatique et je peux te dire que si tous les éditeurs étaient aussi pro et réactifs que jeedom, ça serai le bonheur
Si tu n’es pas content va prendre une box payante ailleurs et attends les mises a jour de sécurité
Je ne comprendrai jamais les gens qui se plaignent, alors qu’il profites du système open source et de la gratuité tous les jours
La sécurité est l’affaire de tous
3 « J'aime »
Je comprends pas comment on peut comparer la box de Free a jeedom. La box t’es louée, elle ne t’appartient pas. Free en est propriétaire et donc c’est sa responsabilité de la mettre a jour où pas.
Alors que jeedom, surtout en diy, on peut supposer que chaque hw est différent. Est ce que l’utilisateur x qui a fait des modifications sur le core a envie que la mise a jour forcée écrasé celle-ci. Ou Mr y qui reste a une version plus ancienne pour une raison particulière mais qui n’a pas ouvert jeedom sur internet. Va lui expliquer le problème alors qu’il n’est pas spécialement impacté puisque pas accessible par des hackers. Il y a tellement de cas spécifique en diy que ce serait suicidaire vis a vis de l’image de jeedom que de forcer une mise a jour .
Il n’y a pas que un cas unique. Il faut voir la vue d’ensemble.