Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket cacti

Betroffene Plattformen:

openSUSE 12.3
openSUSE 12.2

Schwachstellen in Cacti ermöglichen einem entfernten Angreifer an
vertrauliche Daten zu gelangen oder beliebige Befehle zur Ausführung zu
bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2013-1434: Schwachstelle in Cacti vor Version 0.8.8b erlaubt
SQL-Injektion

In Cacti vor Version 0.8.8b werden Benutzereingaben in api_poller.php und
utility.php nicht hinreichend gefiltert und erlauben das Ausführen von
SQL-Befehlen. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen um
an vertrauliche Daten zu gelangen oder Befehle zur Ausführung zu bringen.

CVE-2013-1435: Schwachstelle in Cacti vor Version 0.8.8b

In Cacti vor Version 0.8.8b werden Benutzereingaben in snmp.php und rrd.php
vor der Verarbeitung durch die SNMP Bibliothek bzw. das rrdtool nicht
hinreichend gefiltert und Shell-Befehle können zur Ausführung gebracht
werden. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen um
beliebige Befehle zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1531/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2013-1434:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1434

Schwachstelle CVE-2013-1435:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1435

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.