Bulletin d'alerte Debian

DLA-2069-1 cacti -- Mise à jour de sécurité pour LTS

Date du rapport :
18 janvier 2020
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-7106.
Plus de précisions :

Il a été découvert qu’il existait un certain nombre de vulnérabilités de script intersite (XSS) dans cacti, une interface web pour la supervision de systèmes.

  • CVE-2020-7106

    Cacti 1.2.8 possède des XSS stockés dans data_sources.php, color_templates_item.php, graphs.php, graph_items.php, lib/api_automation.php, user_admin.php et user_group_admin.php, comme prouvé par le paramètre de description dans data_sources.php (une chaîne brute de la base de données affichée par $header pour déclencher le XSS).

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 0.8.8b+dfsg-8+deb8u9.

Nous vous recommandons de mettre à jour vos paquets cacti.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.