Bulletin d'alerte Debian

DSA-1954-1 cacti -- Vérification d'entrées manquante

Date du rapport :
16 décembre 2009
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 429224.
Dans le dictionnaire CVE du Mitre : CVE-2007-3112, CVE-2007-3113, CVE-2009-4032.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Cacti, une interface à RRDtool pour superviser les systèmes et services. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2007-3112, CVE-2007-3113

    Cacti est prédisposé à un déni de service à l'aide des paramètres graph_height, graph_width, graph_start et graph_end. Ce problème ne concerne que la version de Cacti présente dans oldstable (Etch).

  • CVE-2009-4032

    Cacti est prédisposé à plusieurs attaques par script intersite à l'aide de différents moyens.

  • CVE-2009-4112

    Cacti permet aux utilisateurs administrateur authentifiés d'accéder au système hôte en exécutant des commandes arbitraires à l'aide de la Méthode d'entrée du réglage Linux - Get Memory Usage.

    Aucun correctif n'existe pour ce problème à l'heure actuelle. Les développeurs amont implémenteront une politique de liste blanche pour ne permettre que certaines commandes sûres. Pour l'instant, nous recommandons que de tels accès ne soient donnés qu'aux utilisateurs de confiance et que les options Entrée de donnée et Administration des utilisateurs soient sinon désactivées.

Pour la distribution oldstable (Etch), ces problèmes ont été corrigés dans la version 0.8.6i-3.6.

Pour la distribution stable (Lenny), ce problème a été corrigé dans la version 0.8.7b-2.1+lenny1.

Pour la distribution testing (Squeeze), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 0.8.7e-1.1.

Nous vous recommandons de mettre à jour vos paquets cacti.

Corrigé dans :

Debian GNU/Linux 4.0 (etch)

Source :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.