Información sobre seguridad / 2020 / Información sobre seguridad -- DSA-4604-1 cacti

Aviso de seguridad de Debian

DSA-4604-1 cacti -- actualización de seguridad

Fecha del informe:

19 de ene de 2020

Paquetes afectados:

cacti

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el sistema de seguimiento de errores de Debian: error 947374, error 947375, error 941036.
En el diccionario CVE de Mitre: CVE-2019-16723, CVE-2019-17357, CVE-2019-17358.

Información adicional:

Se han encontrado múltiples problemas en cacti, un sistema de monitorización de servidores, que dan lugar, potencialmente, a ejecución de código SQL o a revelación de información por parte de usuarios autenticados.

• CVE-2019-16723

  Usuarios autenticados pueden sortear las comprobaciones de autorización para visualizar un gráfico enviando solicitudes con parámetros local_graph_id modificados.

• CVE-2019-17357

  La interfaz de administración de gráficos sanea de forma insuficiente el parámetro template_id, dando lugar, potencialmente, a inyección de SQL. Atacantes autenticados podrían aprovechar esta vulnerabilidad para ejecutar código SQL no autorizado contra la base de datos.

• CVE-2019-17358

  La función sanitize_unserialize_selected_items (lib/functions.php) sanea de forma insuficiente la entrada proporcionada por el usuario antes de reconstruir los datos serializados que contiene, dando lugar, potencialmente, a una reconstrucción insegura de datos serializados que están bajo control del usuario. Atacantes autenticados podrían aprovechar esta vulnerabilidad para influir en el flujo de control del programa o para provocar corrupción de memoria.

Para la distribución «antigua estable» (stretch), estos problemas se han corregido en la versión 0.8.8h+ds1-10+deb9u1. Tenga en cuenta que a stretch solo le afectaba CVE-2018-17358.

Para la distribución «estable» (buster), estos problemas se han corregido en la versión 1.2.2+ds1-2+deb10u2.

Le recomendamos que actualice los paquetes de cacti.

Para información detallada sobre el estado de seguridad de cacti, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/cacti