Software-update - Cacti 1.2.31

In dit artikel:

Cacti, het webgebaseerde frontend voor RRDtool dat netwerk- en apparaatgegevens verzamelt en in grafieken weergeeft, is uitgebracht in versie 1.2.31. De update pakt een groot aantal beveiligingsproblemen en bugs aan en bevat meerdere dependency-updates en verbeteringen in sessie- en authenticatiegedrag.

Wat is er gedaan
- Beveiliging: tientallen kwetsbaarheden zijn dichtgeplakt, uiteenlopend van pre-authenticatie SQL-injecties en lokale/remote file‑inclusion tot reflected/stored XSS, path traversal, open redirects, authenticatie-bypasses en meerdere vormen van remote code execution. Sommige problemen maakten misbruik van RRDtool-interacties of plugin/package-importmechanismen. Enkele (niet alle) voorbeelden betreffen RCE-, SQLi- en XSS-gevallen die ook tot informatielekken of ongeautoriseerde bestandsoperaties konden leiden. Daarnaast zijn externe libraries geüpdatet wegens CVE's (o.a. billboard.js) en is phpseclib vernieuwd — let op: dit brengt een breaking change voor RRDProxy.
- Bugfixes: talrijke functionele problemen opgelost, zoals onjuiste RRD-padafhandeling bij purge, problemen met automation en data-inputs, e-mail/S MTP-verbeteringen (inclusief UTF8-ondersteuning), stabiliteit bij databaseverbindingen, betere SNMP v3- en FreeBSD-ondersteuning, en fixes voor PHP 8/8.5 compatibiliteit.
- Wijzigingen: aanscherping van sessiebeheer (o.a. wissen van cookies bij deactiveren en uitloggen na wachtwoordwijziging), verbeterde session ID‑beveiliging, en toevoeging van een Dell iDRAC-template. Verder zijn DOMPurify, PHPMailer en jstree bijgewerkt voor betere veiligheid en compatibiliteit.

Context en advies
Cacti vereist een omgeving met MySQL, PHP, RRDTool, net-snmp en een webserver met PHP. Gezien de aard en het aantal dichtgeplakte kwetsbaarheden is het sterk aan te raden om zo snel mogelijk naar 1.2.31 te upgraden en de bijgewerkte afhankelijkheden te controleren, vooral wanneer RRDProxy of plugins gebruikt worden.