Security Release for issue5795 and issue5808

Publicado: 2016-08-31 10:00:00+00:00 release security

Synopsis

Two vulnerabilities in trytond have been found by Cédric Krier.

The CVE-2016-1241 allows an authenticated user to read the hashed password of other users. The exploitation is not easy thanks to the existing protection of Tryton against such leak. Those protections are usage of strong hash method (bcrypt or sha1) and the salt of the password with random data (protection against rainbow tables).

The CVE-2016-1242 allows an authenticated user with write access to report or icon definition to make the server opens any readable file. By default, only the administrator group has such right access.

Workaround

There is no workaround for CVE-2016-1241.

For CVE-2016-1242, the modification rights could be removed to all users for the report and icon records.

Resolution

All users should upgrade trytond to the latest version.

It is recommended that every user changes his password.

Affected versions per series: <=3.2.16, <=3.4.13, <=3.6.11, <=3.8.7 and <=4.0.3

Non affected versions per series: >=3.2.17, >=3.4.14, >= 3.6.12, >=3.8.8 and >=4.0.4

Concern?

Any security concerns should be reported on the bug-tracker at https://bugs.tryton.org/ with the type security.

Tryton Unconference Barcelona 2016

Publicado: 2016-08-18 10:00:00+00:00 TUB2016

This year the annual Tryton Unconference will come back to Barcelona from the 17th to 21st of October at the Mobile world centre.

This will be the sixth edition. Users, developers and interested people will have the opportunity to discover or talk about Tryton.

This year the first day will be dedicated to business oriented talks. And the second day will remain more focused on developer talks.

Talk proposals and schedule are managed on Lanyrd.

A Sprint is planned to be organised the 19th, 20th and 21st. The place will be announced later.

Registration is available at TUB 2016.

If you want to request a talk on a specific topic, you can send your request to the Tryton mailing list. If you have question about the organisation, please contact the foundation at foundation@tryton.org.

And don't forget to spread the word! #TUB2016

Retirada de Neso

Publicado: 2016-06-20 12:00:00+00:00 neso
Se ha decidido parar el desarrollo de Neso, nuestro cliente/servidor autónomo. La ultima versión usable será la 3.8.2. Puede encontrar más información en la issue5642.

Security Announce for issue5570

Publicado: 2016-06-15 12:00:00+00:00 security

Synopsis

A missing access right has been found by Cédric Krier for the Model 'product.product-production.bom'. That allows a malicious authenticated user to write, create or delete records of this type (see issue5570).

Impact

Any authenticated user can modify the links between products and BoM's.

Resolution

All users should create manually a default model access which limits to read only and a second model access limited to the group "Production Administration" with full access.

Affected versions: all versions of production module prior to series 4.0 included.

Non affected version: all versions of production module after series 4.0 non-included.

References

Concern?

Any security concerns should be reported on the bug-tracker at https://bugs.tryton.org/ with the type security.

Versión con traduciones para las series 4.0

Publicado: 2016-05-11 10:00:00+00:00 release

Debido a un problema con Pootle, la versión inicial de las series 4.0 se ha publicado sin muchas traducciones. Por este motivo hemos decidido publicar un nuevo conjunto de versiones con las traducciones corregidas aunque esto suponga romper la regla de ninguna actualización de base de datos para las versiones de corrección intermedias.

Si ya habéis actualizado vuestro servidor a las series 4.0, debéis también actualizar la base de datos para esta versión de correcciones. Disculpad las molestias.

Nueva versión 4.0 de Tryton

Publicado: 2016-05-02 18:00:00+00:00 release

Estamos contentos de anunciar la publicación de la versión 4.0 de Tryton.

Es la primera versión de Tryton que añade soporte para Python 3. El servidor y la mayoría de módulos ya lo soportan. Los módulos que faltan son principalmente aquellos que utilizan WebDAV y LDAP. El cliente será portado cuando se añada el soporte para GTK-3.

Esta versión también contiene una gran refactorización de la pila de protocolo que antes estaba basada en el SimpleHTTPServer de Python. Ahora utiliza una aplicación WSGI corriendo a través del servidor Werkzeug por defecto. De todos modos se puede utilizar cualquier servidor WSGI para ejecutar Tryton, eliminando la restricción de un único proceso con hilos y abre el camino a la ejecución a través de varios esclavos.

Todos los módulos se han revisado para cumplir con la convención de la nomenclatura para la identificación de documentos. El nombre "Código" se utiliza para todos los documentos referenciales, como por ejemplo los terceros y los productos. El nombre "Número" se utiliza para la identificación interna de todos los documentos operacionales, como por ejemplo ventas, compras, facturas, etc. Por último, el nombre "Referencia" se utiliza para las identificaciones de sistemas externos, como por ejemplo el número de venta del proveedor de nuestras compras.

Se han añadido dos nuevos idiomas en la instalación por defecto: Lao y chino simplificado.

Como nos recordó Richard Stallman, la migración desde versiones anteriores esta totalmente soportada.

Cambios importantes para el usuario

  • La nueva funcionalidad nota ofrece un sistema para gestionar notas textuales en cualquier modelo de Tryton. Cuando se clica se abre un diálogo de notas donde el usuario puede gestionar las notas del registro. El estado de lectura de cada nota es independiente por cada usuario. Como sucede con los ficheros adjuntos, el icono de la barra de herramientas indica cuando hay notas en un registro.

    Notas en Tryton Notas en Sao
  • Se ha mejorado la importación y exportación a través de CSV para obtener una mejor experiencia. La ventana de importación ahora soporta arrastrar y soltar campos para ordenar las columnas, como ya pasaba con el asistente de exportación. Ambos asistentes pueden utilizar cualquiera de las codificaciones disponibles en Python. Ahora se pueden configurar los parámetros CSV del resultado de la exportación.

    Exportar CSV
  • Los gráficos provistos por la vista de tipo gráfico han sido mejorados. Ahora usan colores más suaves, líneas más delgadas y arcos más pequeños. En lo que se refiere al fondo, se usa un estilo de guiones en lugar de la línea normal para la representación de los ejes. Se aplica un pequeño valor de transparencia al dibujar líneas para poder ver siempre a través de ellas.

  • Se ha añadido un nuevo botón en las tareas programadas para ejecutarlas una sola vez. Esto es útil para ejecutarlas bajo demanda o probar nuevas configuraciones.

Contabilidad

  • Se ha mejorado el diseño del Libro mayor, Balance de sumas y saldos y el Balance histórico. Ahora se basan en vistas dinámicas. Esto permite una mejora del rendimiento y filtrar los registros de una forma más precisa. Además de poder imprimir informes como antes, se puede exportar los registros a CSV, cosa que es útil para realizar manipulaciones en una hoja de cálculo.

    Libro mayor
  • Se ha añadido el campo Fecha al Balance histórico, para poder modificar la fecha en que se realizan los cálculos. Con esta funcionalidad se puede generar informes en una fecha pasada como si se hubieran generado ignorando las conciliaciones que se han producido después de esta fecha.

  • Se ha mezclado la funcionalidad del informe Balance de tercero dentro del Balance histórico. Nos hemos dado cuenta que ambos informes calculan la misma información pero el Balance de tercero se calcula sobre el tipo Clientes y proveedores.

Terceros

  • El campo Nombre del tercero ya no es obligatorio. Esto soluciona la antigua demanda de poder crear terceros sobre los que no se sabe el nombre cuando se crean.

Productos

  • Se ha añadido un formulario de configuración en el módulo de producto con las siguientes opciones:

    • Valor por defecto para los campos Utilizar Categorías.
    • Valor por defecto para el campo Método de precio de coste.
  • Nunca ha sido fácil explicar el diseño de los productos con sus plantillas, especialmente cuando no es relevante para el negocio. Para simplificarlo, se han rediseñado las vistas para que sean muy similares y en efecto utilizan exactamente el mismo diseño. Los campos que no existen en el producto son automáticamente reemplazados por el valor de la plantilla.

    Producto Variante
  • El campo Categoría se ha reemplazado por el campo Categorías para soportar la funcionalidad de añadir múltiples categorías a un mismo producto. Esto es muy útil para crear categorías multi-dimensión en tiendas online.

Clasificación

Este nuevo módulo define las referencias base para crear diferentes tipos de clasificaciones para los productos. Añade un campo genérico Clasificación en el formulario de producto.

Clasificación Taxonómica

Este nuevo módulo añade la clasificación taxonómica de los productos como un ejemplo de utilización del nuevo módulo de clasificación. Incluye las clasificaciones por Taxón y por Cultivar.

Compras

  • El campo Tiempo de entrega en el proveedor de producto es reemplazado por Tiempo de espera, lo que incrementa la precisión de días a microsegundos.
  • Para cada almacén ahora es posible definir la ubicación de donde se tomarán los bienes en caso de una devolución al proveedor. Si esta ubicación no está definida se utilizará la ubicación de almacenamiento del almacén.

Solicitud

Las funcionalidades de solicitud de compra han sido desacopladas de los módulos stock_supply y sale_supply a un nuevo módulo llamado purchase_request. De esta forma se prepara el trabajo futuro para permitir usar solicitudes de compra sin la necesidad de otras características del módulo stock_supply.

  • Un nuevo estado Excepción ha sido agregado a la solicitud de compra. Esto es útil para gestionar compras canceladas cuando están atadas a "envíos directos".

Ventas

  • El campo Fecha de entrega en el modelo Línea de venta se ha renombrado a Fecha envío para evitar cualquier confusión.
  • El campo Tiempo de entrega en el formulario de producto es reemplazado por Tiempo de espera, lo que incrementa la precisión de días a microsegundos.
  • La personalización de la historia de las Oportunidades de venta se ha reemplazado para la funcionalidad de revisiones del cliente. Eso mejora la precisión y funciona de forma automática para los nuevos campos.

Logística

  • La dirección de destino del almacén de los Albaranes internos ahora se muestra en el informe.
  • Ahora es posible finalizar un movimiento con el nuevo botón Finalizar. Esto es interesante para tener una contabilidad correcta en caso de tener producciones abiertas durante mucho tiempo.
  • Los albaranes de devolución de proveedor ahora tienen el campo Proveedor y Dirección de envío. Estos campos se llenarán automáticamente para los albaranes creados a través de una compra.

Producción

Rutas

Este nuevo módulo define las rutas, los pasos y las operaciones de las producciones. Una ruta es una lista ordenada de pasos y cada paso está definido por una operación genérica.

Trabajo

Este nuevo módulo completa el módulo de Ruta creando los Trabajos de una producción basándose en su ruta. Un Trabajo esta vinculado con un Centro de Trabajo que define su coste mediante los siguientes métodos: Por ciclo o Por hora. El coste de un trabajo se calcula a través de los Ciclos creados en el mismo y luego se añade al coste global de la producción.

Cambios importantes para el desarrollador

  • Los dominios ahora aceptan el operador parent_of que devuelve recursivamente todos los registros que son padres de los registros buscados. Es el operador opuesto al existente child_of.
  • Ahora es posible heredar una vista que ya hereda de otra vista de otro modelo diferente.
  • El nuevo operador de dominio where es útil cuando necesitas hacer una búsqueda sobre un campo xxx2Many con un sub-dominio completo en lugar de cláusulas separadas. Tiene la ventaja de evitar la obtención intermedia de resultados ya que usa una sub-query.
  • La Transacción ha sido mejorada para que su diseño sea más cercano al definido por el PEP-0249. Este nuevo diseño permite dar soporte a transacciones anidadas. También soporta cursores múltiples para la misma transacción, reduciendo el consumo de memoria al iterar sobre grandes conjuntos resultantes.
  • Se introduce un nuevo modelo contextual para evitar el trabajo de escribir asistentes simples para configurar informes asignando algunos valores en el contexto. Con este nuevo diseño, el desarrollador puede definir un modelo para el cual cada campo va a definir los valores del contexto. El formulario de este modelo se mostrará en la parte superior de la vista y la vista se actualizará automáticamente cuando el contexto cambie.
  • Ahora es posible tener informes en texto plano, XML, HTML y XHTML. Con este cambio la infraestructura de informes se puede utilizar para diseñar plantillas de correo electrónico.
  • Esta nueva versión añade soporte para el Protocolo de comiteado en dos fases que permite coordinar transacciones distribuidas. Por defecto, Tryton utiliza una sola transacción de la base de datos, pero cuando Tryton tiene que comunicarse con otros sistemas, es mejor utilizar el PC2F para mantener la integridad de datos. La implementación sigue la API de los Data Managers de Zope. Los Data Managers de la comunidad de Zope se puede utilizar en Tryton.
  • Gracias al protocolo de comiteado en dos fases, ahora los correos electrónicos se pueden enviar cuando la transacción está comiteada. Así, si alguna cosa va mal y la transacción se deshace, no se envía ningún email.

Contabilidad

  • El proceso de conciliación ahora guarda la fecha de la conciliación. Por defecto, es la mayor fecha de las líneas conciliadas. Esto permite filtrar lineas conciliadas basado en esa fecha, por ejemplo para generar un reporte con las lineas sin conciliar anteriores a una fecha dada.

  • Los Abonos han sido integrados con las Facturas. Ahora son facturas estándar con cantidades negativas. Esto permite agrupar fácilmente ambos tipos en un único documento. La numeración aún puede ser diferenciada dependiendo del signo de las líneas.

    Nota: con la integración de Factura y Abonos, los signos de los impuestos para los Abonos deben ser invertidos a mano.

Producto

  • Uom.round ahora es un método de instancia cosa que tiene mucho más sentido teniendo en cuenta su firma.

Compras

  • Las Compras ahora disponen de la transición finalizado, como las Ventas, para permitir extensiones que realizan alguna acción cuando se ha finalizado la compra.
  • Ahora se puede buscar las Solicitudes de compra utilizando el campo Compra.

WebDAV

El módulo WebDAV se ha separado del servidor hacia un módulo aparte, cosa que mejora la modularidad del sistema. En efecto, muchas instalaciones no utilizan WebDAV por lo que era un poco hinchado tenerlo en la base. Además las dependencias de este módulo bloqueaban el camino hacia Python 3 en el servidor. Por el momento, el protocolo WebDAV se gestiona mediante un proceso separado pero es posible que vuelva en el futuro al proceso principal.

I Jornadas Tryton en Barcelona - Convocatoria de charlas

Publicado: 2016-03-24 00:51:07+00:00 jornadas

Como ya anunciamos en la lista de correo en español, varias empresas españolas proveedoras de servicios alrededor de Tryton estamos organizando las I Jornadas Tryton en Barcelona, que tendrán lugar los días 23 y 24 de mayo en un lugar excelente, el Mobile World Centre.

El contenido de las jornadas se dividirá en el orientado a usuarios el lunes 23 y el orientado a desarrolladores el martes 24.

La suscripción ya está abierta en Eventbrite.

Pero el evento no será un éxito sin tu participación, así que es el momento de recoger tus propuestas para realizar una presentación en el evento, que será en castellano.

Los temas pueden estar orientados a usuarios o desarrolladores y pueden incluir, entre otros:

No dudes en mandarnos tu propuesta. Estamos deseando aprender de lo que sabes y como Tryton está cambiando las empresas de tu alrededor.

Simplemente mándanos un correo a jornadas.tryton@gmail.com antes del 17 de abril con una breve explicación acerca del contenido de la charla.

Desconferencia Tryton 2016 - Llamada para propuestas de sedes

Publicado: 2016-03-23 14:05:31+00:00 TUL

Después de la excelente última edición de la desconferencia de Tryton en Buenos Aires, la Fundación Tryton ha empezado a pensar en la desconferencia de este año, que tendrá lugar justo después del lanzamiento de la versión 4.2 prevista en otoño.

Si estás interesado como persona u organización para hacer de anfitrión de la TUx 2016 (¡nuestra sexta desconferencia!) no dudes en enviar tu solicitud a foundation@tryton.org antes del 30 de abril.

¿Qué ciudad seguirá a Liège, Barcelona, Leipzig y Buenos Aires?

Videos de la Tryton Unconference 2015

Publicado: 2016-01-01 09:00:00+00:00 TUBA video

Los vídeos grabados durante la última Tryton Unconference 2015 están disponibles.

Las presentaciones también se pueden descargar.

Publicación seguridad para issue5167

Publicado: 2015-12-17 07:00:00+00:00 release security

Sinopsis

Una vulnerabilidad en trytond ha sido encontrada por Cédric Krier, que podría permitir a un usuario malicioso autenticado escribir en campos en los cuales no tiene acceso (ver issue5167).

Impacto

Cualquier usuario autenticado puede escribir en campos en los cuales no tiene acceso. Los otros permisos de acceso se verifican correctamente.

Alternativa

No existe ninguna alternativa.

Resolución

Todos los usuarios deben actualizar trytond a la última versión.

Versiones afectadas: <=3.8.0, <=3.6.4, <=3.4.7 and <=3.2.9

Versiones no afectadas: >=3.8.1, >=3.6.5, >=3.4.8 and >=3.2.10

¿Incidencias?

Cualquier incidencia de seguridad debe ser reportada en el bug-tracker https://bugs.tryton.org/ con el tipo security.