LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2015 / Informations sur la sécurité -- DLA-255-1 cacti

Bulletin d'alerte Debian

DLA-255-1 cacti -- Mise à jour de sécurité pour LTS

Date du rapport :

27 juin 2015

Paquets concernés :

cacti

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-2665, CVE-2015-4342, CVE-2015-4454.

Plus de précisions :

Plusieurs vulnérabilités (script intersite et injection SQL) ont été découvertes dans Cacti, une interface web pour représenter graphiquement les systèmes de surveillance.

Nous vous recommandons de mettre à jour vos paquets cacti.

• CVE-2015-2665

  Une vulnérabilité de script intersite (XSS) dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'injecter un script web ou du code HTML arbitraires grâce à des vecteurs non spécifiés.

• CVE-2015-4342

  Injection SQL et injection d'en-tête « Location » à partir de cdef id

• CVE-2015-4454

  Une vulnérabilité d'injection SQL dans la fonction get_hash_graph_template de lib/fonctions.php dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'exécuter des commandes SQL grâce au paramètre graph_template_id de graph_templates.php

• Injection SQL sans référence CVE VN:JVN#78187936 / TN:JPCERT#98968540

  Vulnérabilité d'injection SQL dans la page de configuration