Bulletin d'alerte Debian

DLA-278-1 cacti -- Mise à jour de sécurité pour LTS

Date du rapport :
20 juillet 2015
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-4634.
Plus de précisions :

Plusieurs vulnérabilités d'injection SQL ont été découvertes dans cacti, une interface à RRDtool pour superviser les systèmes et services :

  • CVE-2015-4634

    Une vulnérabilité d'injection SQL dans les versions de Cacti antérieures à 0.8.8e permet à des attaquants distants d'exécuter des commandes SQL arbitraires dans graphs.php

    Une vulnérabilité d'injection SQL actuellement inconnue ou sans référence CVE dans les versions de Cacti antérieures à 0.8.8e permet à des attaquants distants d'exécuter des commandes SQL arbitraires dans cdef.php, color.php, data_entry.php, data_queries.php, data_sources.php, data_templates.php, gprint_presets.php, graph_templates.php, graph_templates_items.php, graphs_items.php, host.php, host_templates.php, lib/fonctions.php, rra.php, tree.php et user_admin.php

Pour la distribution oldoldstable (Squeeze), ces problèmes ont été corrigés dans la version 0.8.7g-1+squeeze7.