Информация по безопасности / 2020 / Информация о безопасности -- DSA-4604-1 cacti

Рекомендация Debian по безопасности

DSA-4604-1 cacti -- обновление безопасности

Дата сообщения:

19.01.2020

Затронутые пакеты:

cacti

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 947374, Ошибка 947375, Ошибка 941036.
В каталоге Mitre CVE: CVE-2019-16723, CVE-2019-17357, CVE-2019-17358.

Более подробная информация:

В cacti, системе мониторинга сервера, были обнаружены многочисленные проблемы, потенциально приводящие к выполнению SQL-кода или раскрытию информации аутентифицированным пользователям.

• CVE-2019-16723

  Аутентифицированные пользователи могут обходить проверки авторизации для просмотра графиков, отправляя запросы с изменёнными параметрами local_graph_id.

• CVE-2019-17357

  Интерфейс администрирования графиков недостаточно очищает параметр template_id, что потенциально приводит к SQL-инъекции. Эта уязвимость может использоваться аутентифицированными злоумышленниками для выполнения неавторизованного выполнения SQL-кода в базе данных.

• CVE-2019-17358

  Функция sanitize_unserialize_selected_items (lib/functions.php) недостаточно очищает передаваемые пользователем данные до их десериализации, что потенциально приводит к небезопасной десериализации пользовательских данных. Эта уязвимость может использоваться аутентифицированными злоумышленниками для влияния на логику выполнения программы или для вызова повреждения содержимого памяти.

В предыдущем стабильном выпуске (stretch) эти проблемы были исправлены в версии 0.8.8h+ds1-10+deb9u1. Заметьте, что stretch подвержен только CVE-2018-17358.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 1.2.2+ds1-2+deb10u2.

Рекомендуется обновить пакеты cacti.

С подробным статусом поддержки безопасности cacti можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/cacti