Рекомендация Debian по безопасности

DLA-255-1 cacti -- обновление безопасности LTS

Дата сообщения:
27.06.2015
Затронутые пакеты:
cacti
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-2665, CVE-2015-4342, CVE-2015-4454.
Более подробная информация:

В Cacti, веб-интерфейсе для мониторинга систем и построения графиков, было обнаружено несколько уязвимостей (межсайтовый скриптинг и SQL-инъекции).

Рекомендуется обновить пакеты cacti.

  • CVE-2015-2665

    Межсайтовый скриптинг (XSS) в Cacti до версии 0.8.8d позволяет удалённым злоумышленникам вводить произвольный сценарий или код HTML через неопределённые векторы.

  • CVE-2015-4342

    SQL-инъекция и инъекция заголовка Location из идентификатора cdef

  • CVE-2015-4454

    SQL-инъекция в функции get_hash_graph_template в lib/functions.php в Cacti до версии 0.8.8d позволяет удалённым злоумышленникам выполнять произвольные команды SQL через параметр graph_template_id для graph_templates.php

  • SQL-инъекция, не имеющая номера CVE VN:JVN#78187936 / TN:JPCERT#98968540

    SQL-инъекция на странице настроек