[Fedora] Mehrere Schwachstellen in cacti – FEDORA-2010-9062

[Fedora] Mehrere Schwachstellen in cacti - FEDORA-2010-9062

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Cross-site Scripting Schwachstellen in cacti

Mehrere Schwachstellen in Cacti erlauben es Script-Code in die
Anwendung einzuschleusen. Grund hierfuer sind Fehler bei der
Validierung der Parameter ‘hostname’, ‘host_id’ und ‘description’. Ein
Angreifer kann diese Schwachstelle ausnutzen um beliebige Befehle im
Browser eines anderen Benutzers auszufuehren.

Schwachstelle in cacti ermoeglicht Code-Ausfuehrung.

Die in Cacti enthaltene Funktion ‘ping_icmp’ enthaelt einen Aufruf der
Funktion ‘shell_exec’, dem Parameter uebergeben werden, welche vorher
nicht auf ihre Gueltigkeit ueberprueft werden. Dies ermoeglicht es, ueber
geeignete Parameter Shell-Befehle in die Anwendung einzuschleusen und
diese mit den Rechten der Anwendung auszufuehren.

SQL Injection Schwachstelle in cacti

An Cacti uebergebene Daten werden nicht auf unzulaessige Inhalte
ueberprueft, bevor sie an das Datenbanksystem weiter gegeben werden.
Dies ermoeglicht einem lokalen Angreifer, welcher Graph Templates oder
Devices erstellen kann, beliebige Befehle auf der Datenbank des
Systems auszufuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket cacti

Fedora 11
Fedora 12
Fedora 13

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041864.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041880.html
http://lists.fedoraproject.org/pipermail/package-announce/2010-May/041896.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

– —
Dipl. Inform. Klaus Moeller (Project Development Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de/, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-9062
2010-05-25 18:11:33
– ——————————————————————————–

Name : cacti
Product : Fedora 11
Version : 0.8.7f
Release : 1.fc11
URL : http://www.cacti.net/
Summary : An rrd based graphing tool
Description :
Cacti is a complete frontend to RRDTool. It stores all of the
necessary information to create graphs and populate them with
data in a MySQL database. The frontend is completely PHP
driven. Along with being able to maintain graphs, data
sources, and round robin archives in a database, Cacti also
handles the data gathering. There is SNMP support for those
used to creating traffic graphs with MRTG.

– ——————————————————————————–
Update Information:

Upstream has released a new version. This fixes sql injection, cross site
scripting issues.
– ——————————————————————————–
ChangeLog:

* Mon May 24 2010 Mike McGrath – 0.8.7f-1
– – Upstream released new version
– – Contains security updates #595289
* Fri Apr 23 2010 Mike McGrath – 0.8.7e-4
– – Pulling in patches from upstream
– – SQL injection fix
– – BZ #541279
* Tue Dec 1 2009 Mike McGrath – 0.8.7e-3
– – Pulling in some official patches
– – #541279
– – #541962
* Sun Aug 16 2009 Mike McGrath – 0.8.7e-1
– – Upstream released new version
* Fri Jul 24 2009 Fedora Release Engineering – 0.8.7d-4
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_12_Mass_Rebuild
– ——————————————————————————–
References:

[ 1 ] Bug #595289 – Cacti v0.8.7 – three security fixes
https://bugzilla.redhat.com/show_bug.cgi?id=595289
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update cacti’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFL/THTWmhIvjFb90URAo/mAJ98851AlG6E2tXEYGuBhcx03FEV1ACgh9uf
Plv4f9koB5Z5MBxenka+COw=
=/3kB
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben