Bulletin d'alerte Debian
DLA-255-1 cacti -- Mise à jour de sécurité pour LTS
- Date du rapport :
- 27 juin 2015
- Paquets concernés :
- cacti
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2015-2665, CVE-2015-4342, CVE-2015-4454.
- Plus de précisions :
-
Plusieurs vulnérabilités (script intersite et injection SQL) ont été découvertes dans Cacti, une interface web pour représenter graphiquement les systèmes de surveillance.
Nous vous recommandons de mettre à jour vos paquets cacti.
- CVE-2015-2665
Une vulnérabilité de script intersite (XSS) dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'injecter un script web ou du code HTML arbitraires grâce à des vecteurs non spécifiés.
- CVE-2015-4342
Injection SQL et injection d'en-tête « Location » à partir de cdef id
- CVE-2015-4454
Une vulnérabilité d'injection SQL dans la fonction get_hash_graph_template de lib/fonctions.php dans les versions de Cacti antérieures à 0.8.8d permet à des attaquants distants d'exécuter des commandes SQL grâce au paramètre graph_template_id de graph_templates.php
- Injection SQL sans référence CVE VN:JVN#78187936 / TN:JPCERT#98968540
Vulnérabilité d'injection SQL dans la page de configuration
- CVE-2015-2665