Bulletin d'alerte Debian

DSA-4604-1 cacti -- Mise à jour de sécurité

Date du rapport :
19 janvier 2020
Paquets concernés :
cacti
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 947374, Bogue 947375, Bogue 941036.
Dans le dictionnaire CVE du Mitre : CVE-2019-16723, CVE-2019-17357, CVE-2019-17358.
Plus de précisions :

Plusieurs problèmes ont été découverts dans cacti, un système de supervision de serveur, avec éventuellement pour conséquence l'exécution de code SQL ou la divulgation d'informations par des utilisateurs authentifiés.

  • CVE-2019-16723

    Des utilisateurs authentifiés peuvent contourner les vérifications d'autorisation pour afficher un graphique en soumettant des requêtes avec des paramètres local_graph_id modifiés.

  • CVE-2019-17357

    L'interface d'administration de graphiques vérifie de façon insuffisante le paramètre template_id, avec éventuellement pour conséquence une injection SQL. Cette vulnérabilité pourrait être exploitée par des attaquants authentifiés pour réaliser l'exécution non autorisée de code SQL sur la base de données.

  • CVE-2019-17358

    La fonction sanitize_unserialize_selected_items (lib/fonctions.php) vérifie de façon insuffisante les entrées de l'utilisateur avant de les désérialiser, avec éventuellement pour conséquence une désérialisation non sûre de données contrôlées par l'utilisateur. Cette vulnérabilité pourrait être exploitée par des attaquants authentifiés pour influencer le flux de contrôle du programme ou provoquer une corruption de mémoire.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 0.8.8h+ds1-10+deb9u1. Veuillez noter que Stretch était seulement affectée par le CVE-2018-17358.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 1.2.2+ds1-2+deb10u2.

Nous vous recommandons de mettre à jour vos paquets cacti.

Pour disposer d'un état détaillé sur la sécurité de cacti, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/cacti.