L’incident de la nuit d’avant hier a encore des répercussions sur le temps d’envoi des mails de Framalistes.

Il est tout a fait possible — et normal, le mail étant une technologie asynchrone — que les mails que vous envoyez à une liste ne soient envoyés par notre serveur que quelques heures plus tard.

Nous avons de plus eu un problème d’espace disque au niveau du spool de postfix (dû à l’embouteillage des mails, tout est lié) : certains messages entrants ont été refusés. N’hésitez pas à les renvoyer si vous avez reçu un rapport de non-réception.

Mardi 5 avril, vers 22h, le service Framalistes semble avoir du mal à envoyer les mails, ce qui a eu pour résultat de voir les mails s’accumuler jusqu’à ce matin où nous avons vu le problème.

Nous avons a priori réglé le problème mais le nombre de mails accumulés (plus de 30 000) délaye le moment où le comportement de Framalistes reviendra à la normale.

EDIT:  il s’agissait d’une liste ayant dans ses abonnées… plusieurs autres listes, dont certaines étant modérées. Cela a créé une boucle de mail infinie. N’abonnez pas une liste à une autre liste. Vous pouvez inclure les abonnées d’une autre liste (et ces abonnées seront mises à jour en cas de modification de cette autre liste) via le menu « Configurer la liste » > « Définition des sources de données » > « Inclusion d'une liste (include_sympa_list) » (voir la documentation).

Une faille de sécurité critique de Gitlab a récemment été détectée et corrigée par les équipes de Gitlab.

Suivant leurs recommandations, nous avons mis à jour les mot de passe des comptes potentiellement concernés par la faille (un mot de passe par défaut non aléatoire pour les personnes s’inscrivant via l’authentification Github, Gitlab ou Bitbucket).

Nous pensions que cela ne nécessiterait pas de communication : lorsqu’on utilise ce type d’authentification, on n’utilise pas le mot de passe Framagit pour se connecter à Framagit, mais il semblerait que cela ait déclenché un mail automatique de changement de mot de passe… faisant craindre une usurpation de compte, ce qui est tout à fait compréhensible.

Nous vous présentons nos excuses pour cette frayeur et vous assurons que le mail indiquant un changement de mot de passe reçu entre 11h30 et 12h30 n’est que le résultat d’une manipulation des administrateurs de Framagit et non d’une usurpation de compte.

A critical security vulnerability in Gitlab was recently detected and fixed by the Gitlab teams.

Following their recommendations, we updated the passwords of accounts potentially affected by the vulnerability (a non-random default password for people signing up via Github, Gitlab or Bitbucket authentication).

We thought that this would not require any communication: when using this type of authentication, one does not use the Framagit password to log in to Framagit, but it seems that this triggered an automatic password change email... raising fears of account theft, which is quite understandable.

We apologise for this scare and assure you that the email indicating a change of password received between 11:30 and 12:30 is only the result of a manipulation by the Framagit administrators and not of an account usurpation.