 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 21 juillet 2005
No CERTA-2005-AVI-243-003 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités de Cacti
Tableau 1: Gestion du document
| Référence |
CERTA-2005-AVI-243-003 |
| Titre |
Multiples
vulnérabilités de Cacti |
| Date de la première
version |
04 juillet 2005 |
| Date de la dernière
version |
21 juillet 2005 |
| Source(s) |
Bulletin de
vulnérabilité Hardened - PHP |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- élévation de privilèges.
Cacti 0.8.6e et versions antérieures.
Cacti propose une interface à l'outil RRDTool qui
utilise le langage de scripts PHP.
De multiples vulnérabilités sont présentes
dans Cacti :
- Une vulnérabilité permettant l'injection de
code SQL dans l'URL au niveau des filtres mis en place suite
aux vulnérabilités précédentes
(CERTA-2005-AVI-227) peut être exploitée par un
utilisateur mal intentionné afin de réaliser
des requêtes arbitraires sur la base de données
;
- une vulnérabilité dans la gestion de l'URL
au niveau des filtres mis en place suite aux
vulnérabilités précédentes
(CERTA-2005-AVI-227) peut être exploitée par un
utilisateur mal intentionné afin d'injecter des
commandes système ;
- une vulnérabilité dans la gestion des
en-têtes HTTP peut être utilisée
par un utilisateur mal intentionné afin de contourner
le système d'authentification de Cacti. Ainsi, il lui
est possible d'obtenir les droits d'administration et par
conséquent, d'exécuter des commandes
système sur le serveur web.
La version 0.8.6f de Cacti corrige ces
vulnérabilités.
- 04 juillet 2005
- version initiale.
- 06 juillet 2005
- ajout de la référence au bulletin de
sécurité FreeBSD.
- 13 juillet 2005
- ajout de la référence au bulletin de
sécurité SUSE SUSE-SR:2005:017 et des
références CVE CAN-2005-2148 et
CAN-2005-2149.
- 21 juillet 2005
- ajout de la référence au bulletin de
sécurité Debian DSA-764.
CERTA
2012-01-04
|
|
)
