Bulletin d'alerte Debian

DLA-2965-1 cacti -- Mise à jour de sécurité pour LTS

Date du rapport :
29 mars 2022
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 926700, Bogue 949996.
Dans le dictionnaire CVE du Mitre : CVE-2018-10060, CVE-2018-10061, CVE-2019-11025, CVE-2020-7106, CVE-2020-13230, CVE-2020-23226, CVE-2021-23225, CVE-2022-0730.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Cacti, une interface web pour représenter graphiquement les systèmes de surveillance, menant à un contournement d'authentification et des scripts intersites. Un attaquant peut obtenir l'accès à des zones non autorisées et usurper l'identité d'autres utilisateurs, sous certaines conditions.

  • CVE-2018-10060

    Cacti a des scripts intersites, parce qu'il ne rejette pas correctement des caractères non prévus, liés à l'utilisation de la fonction sanitize_uri dans lib/fonctions.php.

  • CVE-2018-10061

    Cacti a des scripts intersites, parce qu'il procède à certains appels de htmlspecialchars sans le drapeau ENT_QUOTES (ces appels se produisent quand la fonction html_escape dans lib/html.php n'est pas utilisée).

  • CVE-2019-11025

    Aucune protection ne se produit avant d’imprimer la valeur de la chaîne community de SNMP (options de SNMP) dans le cache du scrutateur de View, menant à un script intersite.

  • CVE-2020-7106

    Cacti a des scripts intersites stockés dans plusieurs fichiers comme cela est montré par le paramètre de description dans data_sources.php (une chaîne brute de la base de données qui est affichée par $header pour déclencher le script intersite).

  • CVE-2020-13230

    La désactivation d'un compte d'utilisateur n'invalide pas immédiatement toutes les permissions accordées à ce compte (par exemple la permission de consulter les journaux).

  • CVE-2020-23226

    Plusieurs vulnérabilités de script intersite (XSS) existent dans plusieurs fichiers.

  • CVE-2021-23225

    Cacti permet à des utilisateurs authentifiés dotés des permissions de gestion d'utilisateurs d'injecter un script web arbitraire ou du code HTML dans le champ new_username durant la création d'un nouvel utilisateur au moyen de la méthode Copy d'user_admin.php.

  • CVE-2022-0730

    Dans certaines conditions de ldap, l'authentification de Cacti peut être contournée avec certains types d'identifiants.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 0.8.8h+ds1-10+deb9u2.

Nous vous recommandons de mettre à jour vos paquets cacti.

Pour disposer d'un état détaillé sur la sécurité de cacti, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/cacti.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.