GLPI 11.0.6: kritická bezpečnostná aktualizácia — čo zmeniť

GLPI 11.0.6: kritická bezpečnostná aktualizácia — čo zmeniť

Tím GLPI vydal 3. marca 2026 bezpečnostné verzie GLPI 11.0.6 a GLPI 10.0.24. Obe opravujú šesť zraniteľností – jednu kritickú, tri s vysokou závažnosťou a dve stredné. Ak prevádzkujete GLPI v produkcii, aktualizácia by mala byť vašou prioritou.

Čo bolo opravené

Najzávažnejšou zraniteľnosťou je CVE-2026-26026 – Server-Side Template Injection (SSTI) s kritickým hodnotením. Útočník dokáže prostredníctvom šablónového systému spustiť ľubovoľný kód na serveri. Pri úspešnom zneužití hrozí kompletné prevzatie systému.

Ďalšie tri zraniteľnosti majú vysokú závažnosť:

  • CVE-2026-26263 – neautentifikovaná SQL injection cez vyhľadávací engine. Útočník nepotrebuje prihlasovacie údaje, stačí mu prístup k webovému rozhraniu GLPI.
  • CVE-2026-29047 – autentifikovaná SQL injection, zneužiteľná po prihlásení.
  • CVE-2026-26027 – uložený XSS (Stored Cross-Site Scripting) cez inventárne dáta.

Dve stredne závažné zraniteľnosti dopĺňajú zoznam:

  • CVE-2026-25937 – obídenie viacfaktorovej autentifikácie (MFA bypass).
  • CVE-2026-25936 – ďalšia autentifikovaná SQL injection.

Pre používateľov staršej vetvy 10.0 sú relevantné aj opravy v GLPI 10.0.24: stored XSS v module dodávateľov (CVE-2026-25932) a autentifikovaná SQL injection.

Prečo je to naliehavé

Kombinácia SSTI a neautentifikovanej SQL injection je obzvlášť nebezpečná. Prvá umožňuje spustenie kódu na serveri, druhá nevyžaduje žiadne prihlasovacie údaje. GLPI typicky obsahuje inventár zariadení, tikety s citlivými informáciami a prístupové údaje k sieťovým prvkom. Kompromitácia znamená prístup k údajom o celej IT infraštruktúre.

Ak váš GLPI server nie je izolovaný za VPN alebo firewall pravidlami, riziko sa ďalej zvyšuje.

Pred aktualizáciou: záloha

Aktualizácia je migračný proces, ktorý mení schému databázy. Pred jej spustením vždy:

# 1. Záloha databázy
mysqldump --single-transaction --quick \
  -u glpi -p glpi_db > glpi_backup_$(date +%F).sql

# 2. Záloha inštalačných súborov
tar -czf glpi_files_$(date +%F).tar.gz /var/www/glpi

# 3. Overte zálohu obnovou na testovaciu DB
mysql -u glpi -p glpi_test < glpi_backup_$(date +%F).sql

Bez overenia záloh existuje len ilúzia, že máte rollback. Vyskúšajte obnovu na testovacej databáze pred tým, než spustíte produkčnú migráciu.

Kontrola pluginov

Pluginy sú najčastejšou príčinou problémov pri upgrade. Pred aktualizáciou:

  1. Otvorte Setup → Plugins a vypíšte si všetky aktívne pluginy a ich verzie.
  2. Pre každý plugin overte v katalógu GLPI Plugins, či má verziu kompatibilnú s 11.0.6.
  3. Ak plugin nemá kompatibilnú verziu, rozhodnite sa: počkať na update, hľadať náhradu, alebo deaktivovať pred upgrade.
  4. Aktívne nekompatibilné pluginy môžu spôsobiť pád migračného skriptu — radšej ich deaktivujte vopred.

Cascade kompatibilita: náš workflow plugin Cascade bol testovaný s 11.0.6 a je kompatibilný; ak ho prevádzkujete, upgrade neblokuje.

Postup nasadenia

Odporúčaná postupnosť pre samohostené nasadenie:

  1. Staging upgrade — ak máte testovaciu inštanciu, aktualizujte najskôr tam. Klonujte produkčnú databázu a súbory na staging server, spustite upgrade a overte funkčnosť.
  2. Vypnutie GLPI cron — počas migrácie pozastavte automatické akcie deaktiváciou cron jobu (napr. crontab -e a zakomentovať riadok GLPI).
  3. Údržbový režim — v Setup → General zapnite Maintenance mode (alebo nastavte HTTP redirect na údržbovú stránku, aby používatelia nezasahovali počas migrácie).
  4. Stiahnutie verzie — z oficiálneho GitHub repozitára glpi-project/glpi alebo z glpi-project.org. Overte SHA-256 podpis archívu proti hodnote v release notes.
  5. Rozbalenie — nahraďte súbory v /var/www/glpi, ponechajte adresáre config/ a files/ z pôvodnej inštalácie.
  6. Migračný skript — spustite php bin/console db:update alebo navštívte install/update.php cez prehliadač.
  7. Reaktivácia — vypnite Maintenance mode, znovu spustite cron, otestujte funkčnosť.

Typický downtime: 5–15 minút pri menších inštaláciách (do ~5 000 tiketov), 15–30 minút pri väčších databázach. Pri zložitých customizáciách počítajte s viac.

Po aktualizácii: kontrolný zoznam

Pred reaktiváciou pre používateľov overte:

  • Prihlasovacie toky — lokálne aj cez LDAP/AD
  • Prijatie a vytvorenie tiketu cez e-mail (mail collector)
  • Vyhľadávanie a uložené vyhľadávania
  • Notifikácie — testovací tiket s priradením a očakávaným e-mailom
  • Dashboardy a reporty
  • Plugin funkcionalita (Cascade, Formcreator a ďalšie)
  • Zápis do logov bez chýb (files/_log/php-errors.log)

Rollback, ak niečo zlyhá

Ak migrácia zlyhá alebo poznačí dáta:

  1. Zastavte webový server (systemctl stop apache2 alebo nginx).
  2. Obnovte adresár GLPI z tar.gz zálohy.
  3. Obnovte databázu zo SQL dumpu (mysql -u glpi -p glpi_db < glpi_backup_$(date +%F).sql).
  4. Reštartujte webový server.

Po rollback ste späť na pôvodnej verzii. Analyzujte chybu — najčastejšie príčiny sú nekompatibilný plugin, nedostatok pamäte (memory_limit v PHP) alebo timeout pri väčšej databáze (max_execution_time).

Ešte na 10.0?

Ak ešte používate GLPI 10.0.x, minimálne aktualizujte na 10.0.24, ktorá obsahuje opravy proti CVE-2026-25932 a CVE pre SQL injection. Prechod na 11.0 si naplánujte v horizonte nasledujúcich mesiacov — vetva 10.0 sa blíži ku koncu životného cyklu a budúce zraniteľnosti budú opravované len v 11.0. Verzii 11.0.6 pribudli aj funkčné opravy: viditeľnosť prepojených ITIL objektov naprieč entitami, pád časovej osi pri NULL dátumoch dokumentov a niekoľko opráv pri tvorbe šablón a zakladaní tiketov.

Potrebujete pomôcť s touto témou?

Kontakt