Harpège > Mise à dispostion du patch Har891la

L’AMUE met à disposition des sites Harpège en version har890la, le patch har891la (version applicative 8.9.1.1 et nomenclature 8.9.1.0).

Ce patch intègre :

Au niveau du menu Personnel /  Absence-Congé / Congés de SS / Paternité et d’accueil de l’enfant :

Modification de la limite de durée des congés paternité à 25 jours pour une naissance simple et 32 jours pour des naissances multiples selon le décret 2021-574 du 10 mai 2021 (fiche 164418).

Pour rappel, l’application propose automatiquement la nouvelle durée du congé mais toute saisie supérieure au nombre de jours règlementaires ne sera pas bloquée. Une attention particulière doit donc être apportée lors des saisies.

Au niveau du menu Personnel /  Agent / Autorisation de travail  :

Ajout du contrôle « HAR-20258 : un étranger doit avoir une autorisation de travail afin de pouvoir exercer » sur le pays code 132 « BRITANNIQUE -ROYAUME UNI » (fiche 162648).

Au niveau des Nomenclatures  :

Suite à la parution du Décret n°2021-406 du 8 avril 2021 portant attribution de points d'indice majoré à certains personnels civils et militaires de l'Etat, personnels des collectivités territoriales et des établissements publics de santé, la correspondance entre indices brut et indices majorés a été mise à jour pour les indices bruts 354 à 361 inclus (fiche 160872).

Au niveau du Déversement GFC :

Ajout des codes élément de paie suivants dans le menu Personnel / Agent / Imputations spécifiques :

200041 Forfait Mobilités Durables (fiche 156408)
200042 Forfait Télétravail (fiche 164678)

Mise à disposition de l’outil RIP View :

Cette application « RIP View » est destinée à simplifier la lecture des fichiers XML produits par l’outil RIP (fiche 160526).
L’application permet la recherche de fichiers et restitue les informations des fichiers sous forme de tableaux. Cet affichage a pour vocation de permettre la lecture occasionnelle des données d’un agent dans une interface plus lisible qu’un fichier XML. La mise en place de l’application doit être opérée par un intervenant technique à l’aide du document « MOP_RIP_VIEW_8-9.1.pdf » disponible sur le Sharepoint Harpège.

INFORMATION TECHNIQUE : Alerte sécurité log4j 
Une faille de sécurité critique a été révélée dans le composant log4j.
Après analyse, par défaut les composants Harpège ne sont pas impactés par cette faille. 
Si néanmoins vous constatez des comportements inhabituels de vos applications ou soupçonnez des tentatives d'attaque liés à cette vulnérabilité, merci de nous en faire part via une demande d’assistance.
Ci-après le détail des analyses :
Socle Oracle : Oracle a mis à jour la liste des composants impactés. L'OHS et le serveur Weblogic ne sont pas touchés par cette faille et les parties Forms et Reports ne sont pas concernées en mode serveur. En revanche celle-ci touche Reports Builder si vous l'utilisez pour personnaliser vos éditions sous Windows. La correction consiste à ajouter l'options suivante dans $DOMAIN_HOME\bin\setDomainEnv.cmd :
set JAVA_OPTIONS=%JAVA_OPTIONS% -Dlog4j2.formatMsgNoLookups=true
Webservices et FWA : Après analyse,  la version 1.x de log4j étant utilisée, ces services ne sont pas impactés par la faille, sous réserve que vous n'ayez pas ajouté, dans la configuration de log4j, "org.apache.log4j.net.JMSAppender" (ce qui n'est pas le cas par défaut).
Le serveur d'authentification CASv3 n'est pas concerné pour la même raison, en revanche si vous utilisez une version plus récente du serveur CAS il vous faudra vérifier auprès du fournisseur de celle-ci les impacts potentiels.

Nous vous conseillons, pour les jours à venir, de mettre si possible en place une surveillance régulière des logs pour détecter toute tentative d'attaque. Ceci peut être fait via la commande :
egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' <DOSSIER_LOGS>
De plus, il convient de limiter :
- L'accès aux applications à usage interne au seul réseau de votre établissement
- Les autorisations d'accès vers des sites externes depuis vos serveurs, en établissant des listes blanches vers les tiers de confiance
SAP BO : Les versions 4.2 et 4.3 de SAP Business Object ne sont pas impactées par la vulnérabilité »