Bulletin d'alerte Debian

DLA-255-1 cacti -- Mise à jour de sécurité pour LTS

Date du rapport :
27 juin 2015
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-2665, CVE-2015-4342, CVE-2015-4454.
Plus de précisions :

Plusieurs vulnérabilités (script intersite et injection SQL) ont été découvertes dans Cacti, une interface web pour représenter graphiquement les systèmes de surveillance.

Nous vous recommandons de mettre à jour vos paquets cacti.

  • CVE-2015-2665

    Une vulnérabilité de script intersite (XSS) dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'injecter un script web ou du code HTML arbitraires grâce à des vecteurs non spécifiés.

  • CVE-2015-4342

    Injection SQL et injection d'en-tête « Location » à partir de cdef id

  • CVE-2015-4454

    Une vulnérabilité d'injection SQL dans la fonction get_hash_graph_template de lib/fonctions.php dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'exécuter des commandes SQL grâce au paramètre graph_template_id de graph_templates.php

  • Injection SQL sans référence CVE VN:JVN#78187936 / TN:JPCERT#98968540

    Vulnérabilité d'injection SQL dans la page de configuration