Dostępna jest nowa wersja GLPI.
Ta wersja koryguje kilka problemów z zabezpieczeniami, które zostały niedawno wykryte. Zalecamy aktualizacje systemu.
Możesz pobrać archiwum GLPI 10.0.3 na GitHub.
Wyjątkowo, ponieważ mamy nieścisłości w zakresie z bezpieczeństwa, które wpływają na GLPI 9.5, wydajemy również archiwum GLPI 9.5.9.
Poniżej znajdziesz listę problemów bezpieczeństwa, które zostały naprawione w wersji z poprawkami błędów:
XSS through registration API (CVE-2022-35945)
Leak of sensitive information through login page error (CVE-2022-31143)
Stored XSS through global search (CVE-2022-31187)
Command injection using a third-party library script (CVE-2022-35914)
SQL injection through plugin controller (CVE-2022-35946)
Authentication via SQL injection (CVE-2022-35947)
Blind Server-Side Request Forgery (SSRF) in RSS feeds and planning (CVE-2022-36112)
Oto krótka lista głównych zmian dokonanych w tej wersji:
More precise rights checks on inventory (#12610)
Display of last inventoried value for locked fields (#12602)
Permit to use rules to add computers as virtual machines (#12572)
Delegate session cookies security to sysadmin (#12302)
Prevent collector failure on invalid mail header (#12232)
Many fixes on network inventory
Pełna lista zmian dostępna jest tutaj
Chcielibyśmy podziękować wszystkim osobom, które przyczyniły się do powstania nowej wersji oraz wszystki tym, którzy regularnie przyczyniają się do projektu GLPI!
Z pozdrowieniami,
GLPI team