吴昊博客原创Cacti新版系列教程:https://blog.whsir.com/post-4617.html
重要提示:在此版本中已解决了一些安全问题。建议尽快将所有现有平台升级到此版本,以避免可能出现的问题。
随着 Cacti 1.2.27 的发布,几个插件已更新/添加,请查看它们在其 GitHub 存储库中的 Thold(v1.8)、MacTrack(v4.7)以及新的 ServCheck(v0.1)。
Cacti1.2.27更新日志:
安全 #GHSA-37x7-mfjv-mm7m:在使用较旧的密码哈希时的身份验证绕过
安全 #GHSA-7cmj-g5qc-pj88:导入包时的 RCE 漏洞
安全 #GHSA-cx8g-hvq8-p2rv:插件包含文件时的 RCE 漏洞
安全 #GHSA-gj3f-p326-gh8r:通过自动化 API 使用树规则时的 SQL 注入漏洞
安全 #GHSA-grj5-8fcj-34gh:使用基于 JavaScript 的消息传递 API 时的 XSS 漏洞
安全 #GHSA-jrxg-8wh8-943x:使用表单模板时的 SQL 注入漏洞
安全 #GHSA-p4ch-7hjw-6m87:通过自动化 API 读取树规则时的 XSS 漏洞
安全 #GHSA-rqc8-78cm-85j3:管理数据查询时的 XSS 漏洞
安全 #GHSA-vjph-r677-6pcc:使用自动化 API 检索图形时的 SQL 注入漏洞
问题 #5622:改进 PHP 8.3 支持
问题 #5628:通过命令行导入包时,无法选择数据源配置文件
问题 #5629:更改密码时,返回上一页异常
问题 #5636:首次使用 LDAP 认证时,日志中可能会出现警告
问题 #5638:编辑/查看设备时,在主机名工具提示中添加 IPv6 信息
问题 #5645:当启用 Boost 时,改进轮询速度
问题 #5648:改进对半小时时区的支持
问题 #5649:改进 Windows 上 ping 的支持
问题 #5655:当用户会话未找到时,设备列表可能会错误返回
问题 #5660:导入时,旧模板可能会生成警告
问题 #5661:改进 Ping 的备用位置支持
问题 #5662:改进安装程序对 PHP 8.1 的支持
问题 #5669:修复数字格式化问题
问题 #5677:在首次运行 SpikeKill 时改进 PHP 8.1 支持
问题 #5693:改进 SpikeKill 对 PHP 8.1 的支持
问题 #5696:使用中文搜索图形时,会出现乱码字符
问题 #5701:导入模板时,预览模式加载问题
问题 #5720:安装远程轮询器后,不执行 MySQL TimeZone DB 检查
问题 #5723:远程轮询器安装完成后,不显示完成按钮
问题 #5725:未授权代理应记录到日志中
问题 #5726:如果主机名更改,轮询器缓存可能不会更新
问题 #5727:使用 CMD 轮询器时,失败和恢复日期可能具有不正确的值
问题 #5731:保存树可能导致树未发布
问题 #5732:Web 基本身份验证不记录用户登录
问题 #5733:使用基于重音的语言时,翻译可能无法正常工作
问题 #5743:修复设备规则的自动化表达式
问题 #5748:在首次安装时,改进 PHP 8.1 的支持与 Boost
功能 #5692:在图形旁边添加设备“启用/禁用”指示器
功能 #5710:当远程数据收集器进入心跳状态时,定期通知管理员
功能 #5716:为 Aruba Clearpass 添加模板
功能 #5730:按图形模板对设备模板进行过滤/排序
原文如下:
原文地址:https://www.cacti.net/changelog.php
security #GHSA-37x7-mfjv-mm7m: Authentication Bypass when using using older password hashes
security #GHSA-7cmj-g5qc-pj88: RCE vulnerability when importing packages
security #GHSA-cx8g-hvq8-p2rv: RCE vulnerability when plugins include files
security #GHSA-gj3f-p326-gh8r: SQL Injection vulnerability when using tree rules through Automation API
security #GHSA-grj5-8fcj-34gh: XSS vulnerability when using JavaScript based messaging API
security #GHSA-jrxg-8wh8-943x: SQL Injection vulnerability when using form templates
security #GHSA-p4ch-7hjw-6m87: XSS vulnerability when reading tree rules with Automation API
security #GHSA-rqc8-78cm-85j3: XSS vulnerability when managing data queries
security #GHSA-vjph-r677-6pcc: SQL Injection vulnerability when retrieving graphs using Automation API
issue #5622: Improve PHP 8.3 support
issue #5628: When importing packages via command line, data source profile could not be selected
issue #5629: When changing password, returning to previous page does not always work
issue #5636: When using LDAP authentication the first time, warnings may appear in logs
issue #5638: When editing/viewing devices, add IPv6 info to hostname tooltip
issue #5645: Improve speed of polling when Boost is enabled
issue #5648: Improve support for Half-Hour time zones
issue #5649: Improve support of ping on Windows
issue #5655: When user session not found, device lists can be incorrectly returned
issue #5660: On import, legacy templates may generate warnings
issue #5661: Improve support for alternate locations of Ping
issue #5662: Improve PHP 8.1 support for Installer
issue #5669: Fix issues with number formatting
issue #5677: Improve PHP 8.1 support when SpikeKill is run first time
issue #5693: Improve PHP 8.1 support for SpikeKill
issue #5696: When using Chinese to search for graphics, garbled characters appear.
issue #5701: When importing templates, preview mode will not always load
issue #5720: When remote poller is installed, MySQL TimeZone DB checks are not performed
issue #5723: When Remote Poller installation completes, no finish button is shown
issue #5725: Unauthorized agents should be recorded into logs
issue #5726: Poller cache may not always update if hostname changes
issue #5727: When using CMD poller, Failure and Recovery dates may have incorrect values
issue #5731: Saving a Tree can cause the tree to become unpublished
issue #5732: Web Basic Authentication does not record user logins
issue #5733: When using Accent-based languages, translations may not work properly
issue #5743: Fix automation expressions for device rules
issue #5748: Improve PHP 8.1 Support during fresh install with boost
feature #5692: Add a device "enabled/disabled" indicator next to the graphs
feature #5710: Notify the admin periodically when a remote data collector goes into heartbeat status
feature #5716: Add template for Aruba Clearpass
feature #5730: Add fliter/sort of Device Templates by Graph Templates
原文链接:Cacti1.2.27新版发布,更新日志,转载请注明来源!