Debians sikkerhedsbulletin
DSA-4604-1 cacti -- sikkerhedsopdatering
- Rapporteret den:
- 19. jan 2020
- Berørte pakker:
- cacti
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 947374, Fejl 947375, Fejl 941036.
I Mitres CVE-ordbog: CVE-2019-16723, CVE-2019-17357, CVE-2019-17358. - Yderligere oplysninger:
-
Adskillige problemer er fundet i cacti, et serverovervågningssystem, potentielt medførende udførelse af SQL eller informationsafsløring foretaget af autentificerede brugere.
- CVE-2019-16723
Autentificerede brugere kunne omgå autorisationskontrollerne vil visning af en graf, ved at indsende forespørgsler med modificerede local_graph_id-parametre.
- CVE-2019-17357
Brugerfladen til administration af graf fornuftighedskontrollerede på utilstrækkelig vis paremeteret template_id, potentielt førende til SQL-indsprøjtning. Sårbarheden kunne anvendes som løftestang af autentificerede angribere, til at udføre uautoriseret SQL-kode i en database.
- CVE-2019-17358
Funktionen sanitize_unserialize_selected_items (lib/functions.php) fornuftighedskontrollerede på utilstrækkelig vis brugerinddata, før de blev deserialiseret, potentielt medførende usikker deserialisering af brugerkontrollerede data. Sårbarheden kunne anvendes som løftestang af autentificerede angribere til at påvirke programkontrolforløbet eller til at forårsage hukommelseskorruption.
I den gamle stabile distribution (stretch), er disse problemer rettet i version 0.8.8h+ds1-10+deb9u1. Bemærk at stretch kun var påvirket af CVE-2018-17358.
I den stabile distribution (buster), er disse problemer rettet i version 1.2.2+ds1-2+deb10u2.
Vi anbefaler at du opgraderer dine cacti-pakker.
For detaljeret sikkerhedsstatus vedrørende cacti, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/cacti
- CVE-2019-16723