Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Cacti <= 0.8.8g Betroffene Plattformen: openSUSE 13.2 openSUSE Leap 42.1 Zwei Schwachstellen in Cacti ermöglichen einem entfernten, einfach authentifizierten Angreifer das Einschleusen von SQL-Kommandos. Für die Distributionen openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates bereit. Patch: openSUSE Security Update openSUSE-SU-2016:1328-1 https://lists.opensuse.org/opensuse-updates/2016-05/msg00074.html

CVE-2016-3659: Schwachstelle in Cacti ermöglicht das Einschleusen von
SQL-Kommandos

Eine Schwachstelle in graph_view.php in Cacti 0.8.8.g ermöglicht das
Einschleusen von SQL-Kommandos über den Parameter ‘host_group_data’. Ein
entfernter, authentifizierter Angreifer kann die Schwachstelle ausnutzen, um
beliebige SQL-Kommandos zur Ausführung zu bringen.

CVE-2016-3172: Schwachstelle in Cacti ermöglicht das Einschleusen von
SQL-Kommandos

Eine Schwachstelle in tree.php in Cacti 0.8.8g und früheren Versionen
ermöglicht das Einschleusen von SQL-Kommandos über den Parameter ‘parent_id’
in der ‘item_edit’-Aktion. Ein entfernter, authentifizierter Angreifer kann
die Schwachstelle ausnutzen, um beliebige SQL-Kommandos zur Ausführung zu
bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0798/

Schwachstelle CVE-2016-3172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3172

Schwachstelle CVE-2016-3659 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3659

openSUSE Security Update openSUSE-SU-2016:1328-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00074.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.