Bulletin d'alerte Debian

DSA-3794-1 munin -- Mise à jour de sécurité

Date du rapport :
25 février 2017
Paquets concernés :
munin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 855705.
Dans le dictionnaire CVE du Mitre : CVE-2017-6188.
Plus de précisions :

Stevie Trujillo a découvert une vulnérabilité d'écriture de fichier local dans munin, un environnement de représentation graphique de réseau, quand les graphes CGI sont activés. Les paramètres GET ne sont pas correctement gérés, permettant d'injecter des options dans munin-cgi-graph et écrasant n'importe quel fichier accessible à l'utilisateur exécutant le processus cgi.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.0.25-1+deb8u1.

Nous vous recommandons de mettre à jour vos paquets munin.