Bulletin d'alerte Debian

DSA-764-1 cacti -- Plusieurs vulnérabilités

Date du rapport :
21 juillet 2005
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 316590, Bogue 315703.
Dans le dictionnaire CVE du Mitre : CVE-2005-1524, CVE-2005-1525, CVE-2005-1526, CVE-2005-2148, CVE-2005-2149.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans cacti, un outil pour les bases de données Round-robin (RDD) facilitant la génération de graphes depuis des informations stockées dans des bases de données. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CAN-2005-1524

    Maciej Piotr Falkiewicz et un chercheur anonyme ont découvert un bogue dans la validation des entrées permettant à un attaquant d'inclure du code PHP arbitraire depuis des sites distants et ainsi d'exécuter du code arbitraire sur le serveur hébergeant cacti.

  • CAN-2005-1525

    Une mauvaise validation des entrées permettait à un attaquant distant d'insérer des expressions SQL arbitraires.

  • CAN-2005-1526

    Maciej Piotr Falkiewicz a découvert un bogue dans la validation des entrées permettant à un attaquant d'inclure du code PHP arbitraire depuis des sites distants et ainsi d'exécuter du code arbitraire sur le serveur hébergeant cacti.

  • CAN-2005-2148

    Stefan Esser a découvert que la mise à jour suite aux vulnérabilités ci-dessus ne procédait plus à une validation correcte des entrées qui aurait du empêcher les attaques usuelles.

  • CAN-2005-2149

    Stefan Esser a découvert que la mise à jour suite à CAN-2005-1525 permettait aux utilisateurs distants de modifier les informations de session pour obtenir des droits supplémentaires et désactiver l'utilisation de « addslashes », fonction permettant de se protéger des injections SQL.

Pour l'ancienne distribution stable (Woody), ces problèmes ont été corrigés dans la version 0.6.7-2.5.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 0.8.6c-7sarge2.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 0.8.6f-2.

Nous vous recommandons de mettre à jour votre paquet cacti.

Corrigé dans :

Debian GNU/Linux 3.0 (woody)

Source :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.