LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-488-1 xymon

Bulletin d'alerte Debian

DLA-488-1 xymon -- Mise à jour de sécurité pour LTS

Date du rapport :

25 mai 2016

Paquets concernés :

xymon

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-2054, CVE-2016-2055, CVE-2016-2056, CVE-2016-2058.

Plus de précisions :

Markus Krell a découvert que xymon (anciennement connu sous le nom de Hobbit), un système de surveillance de réseaux et d'applications, était vulnérable aux problèmes de sécurité suivants :

• CVE-2016-2054

  Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut déclencher un dépassement de pile, menant à un déni de service (au moyen du plantage de l'application) ou à l'exécution de code distant.

• CVE-2016-2055

  Le traitement incorrect des entrées fournies par l'utilisateur dans la commande config peut conduire à une fuite d'informations en servant des fichiers de configuration sensibles à un utilisateur distant.

• CVE-2016-2056

  Les commandes traitant la gestion des mots de passe ne valident pas correctement les entrées fournies par l'utilisateur et sont ainsi vulnérables à l'injection de commande shell par un utilisateur distant.

• CVE-2016-2058

  L'échappement incorrect des entrées fournies par l'utilisateur dans les pages web d'état peut être utilisé pour déclencher des attaques réfléchies par script intersite.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 4.3.0~beta2.dfsg-9.1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets xymon.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.