Bonjour à tous, La CVE-2025-66516 décrit une vulnérabilité de type XXE (XML External Entity injection) dans Apache Tika. Elle est exploitable lorsque Tika traite des PDF contenant du XFA (XML Forms Architecture) spécialement forgé. Dès publication et analyse de la CVE, nous avons procédé à une localisation exhaustive des dépendances à Tika dans l’écosystème GoFAST : Exécutable CEO-Vision (binaire embarqué) Alfresco (Composant de transformation) Solr (Module d'extraction "SolrCell”) Ce post présente la rétrospective des analyses menées et des actions prises par notre comité sécurité dans le cadre du traitement de cette faille. Références : Fiche NVD Fiche RedHat Communication Apache Solr Communication Alfresco ️Exécutable Tika embarqué CEO-Vision Bien que l’exécutable embarqué n’étant pas directement exposé et étant utilisé après différentes couches de contrôles (chaîne applicative, sécurité, analyses antivirus, etc.), cet exécutable a fait l'objet d'un traitement immédiat dans notre chaîne de sécurité. En conséquence : Le composant Tika embarqué a été mis à jour immédiatement dans un patch spécial, progressivement déployé en production sur toutes les GoFAST Enterprise supportés et ne nécessitant pas d'interruption des services Le correctif a été intégré à la release de sécurité courante GoFAST 4.4.1 ainsi qu'aux prochaines versions ️Dépendances dans Alfresco Alfresco Content Services Community Distribution intègre dans certains cas des dépendances à Tika devant être mise à jour. Le composant core utilisé par GoFAST Alfresco Repository n'est néanmoins pas impacté par cette faille de sécurité, ce composant n'effectuant plus lui même les extractions depuis la version 7.0. Le composant impacté côté Alfresco est Alfresco Transform Core, composant utilisé via T-Engine que nous n'utilisons et n'installons plus depuis GoFAST v4. En effet, les transformations de documents sont maintenant gérés notamment pour des raisons de performances directement via nos applicatifs embarqués (OnlyOffice, LibreOffice, Exécutable Tika embarqué CEO-Vision, ...) En essayant d'activer le transformer dans Alfresco nous constatons que le composant n'est pas chargé car non présent sur nos déploiements : [image: 1767091400468-f03d6ceb-a5e4-4ca0-811a-0aea0ea25fd4-image.png] Il a donc été confirmé que l'intégration d'Alfresco CE dans GoFAST n'est pas vulnérable à la CVE-2025-66516 ️Dépendances dans Apache Solr Apache Solr intègre dans certains cas des dépendances à Tika devant être mise à jour. La vulnérabilité concerne le module d'extraction (SolrCell) qui n'est pas utilisé dans le cadre de notre intégration d'Apache Solr dans GoFAST. En effet, l'extraction des contenus et métadonnées est dans GoFAST et depuis toujours entièrement gérée par notre stack applicative (Alfresco, Exécutable Tika embarqué, ..). Dans un cadre préventif nous avons tout de même tenté de déployer la mitigation proposée par l'éditeur pour les environnements impactés, mais il s'avère que les librairies utilisés pour la gestion de l'extraction ne sont même pas chargés. [image: 1767091792560-f317a989-a56f-4237-a559-c768d4179924-image.png] Il a donc été confirmé que l'intégration d'Apache Solr dans GoFAST n'est pas vulnérable à la CVE-2025-66516 ️Roadmap, Suivi et Veille Le Roadmap suivant à été défini pour les deux composants présentant des dépendances faillibles bien que non chargés : Les composants Alfresco Content Services Community sont planifiés pour mise à jour majeur dans la prochaine version intermédiaire de GoFAST Le composant Apache Solr est planifié pour mise à jour majeur dans la prochaine version intermédiaire de GoFAST Le comité sécurité de CEO-Vision continue de suivre activement : Les annonces éditeurs (Apache, Hyland, RedHat, ..) Les recommandations de durcissement/mitigation Les retours d’expérience (CNA/NVD, bulletins OS, etc.) Pour les administrateurs GoFAST Enterprise, si vous êtes dans une version de GoFAST non supportée nous vous engageons à vous rapprocher de votre support Enterprise dans le ticket de mise à jour qui vous a été ouvert pour planifier la montée de version au plus vite. Bonne journée !

Bonjour, Le comportement actuel est effectivement intentionnel. Je comprends l'intérêt de séparer les deux types d'éléments dans des arborescences distinctes. Cependant, le fait de les regrouper présente également certains avantages. Avec le fonctionnement actuel, il est possible de séparer les Documents et les Espaces en créant deux collections (par exemple, "Documents" et "Espaces"), ce qui permet de replier facilement le contenu non pertinent dans chacune des arborescences. [image: 1730209043983-c9128c15-07d4-4352-873e-2f33c2685f45-image.png] Cela dit, j'admets que ce fonctionnement n'est pas optimal pour l'utilisation que vous envisagez. En effet, lors du chargement du tableau de bord ou de la création de nouvelles collections, toutes les collections à la racine de l'arborescence sont dépliées par défaut, obligeant l'utilisateur à effectuer des actions supplémentaires. Le problème d'avoir deux arborescences distinctes est qu'il ne serait plus possible de regrouper documents et espaces dans les mêmes collections dans le menu des favoris de la barre supérieure. Nous restons donc ouverts à toute proposition concernant cette fonctionnalité si la solution proposée ne convient pas ou si elle peux être amélioré.

Dans le cadre du suivi de ce billet, nous avons fait un tableau d'équivalence (informatif uniquement) entre les diverses normes et recommandations en terme de classification des données : Organisation civile Militaire France EUCI (Europe) TLP (CISA) NC – Non Classifié / Public TLP:CLEAR C1 – Usage interne TLP:AMBER+STRICT C2 – Diffusion Restreinte / Sensible / (Confidentiel*) Diffusion Restreinte EU Restricted TLP:GREEN EU Confidential TLP:AMBER C3 – Secret / Sensible souverain Secret-défense EU Secret TLP:RED Très Secret-Défense EU Top Secret * en GoFAST 4.5 et inférieur, soumis à un changement dans le futur

As part of the follow-up for this post, we have created an equivalence table (for information purposes only) between various standards and recommendations regarding data classification: Civilian Organization Militaire France EUCI (Europe) TLP (CISA) NC – Unclassified / Public TLP:CLEAR C1 – Internal Use TLP:AMBER+STRICT C2 – Restricted / Sensitive / (Confidential*) Restricted EU Restricted TLP:GREEN EU Confidential TLP:AMBER C3 – Secret / Sovereign Sensitive Secret EU Secret TLP:RED Very Secret EU Top Secret * in GoFAST 4.5 and below, subject to future changes