2016-0347: Xymon: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2016-02-29 17:10)

Neues Advisory

Betroffene Software

Netzwerk
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Xymon ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes sowie das Ausspähen von Informationen und in der Folge möglicherweise das Erlangen von Administratorrechten. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer die Ausführung von Shell-Kommandos und verschiedene Cross-Site-Scripting-Angriffe. Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Der Hersteller stellt ein Sicherheitsupdate auf die Xymon Version 4.3.25 bereit, das diese Schwachstellen behebt. Debian stellt für die Distribution Jessie (stable) ein entsprechendes Backport-Sicherheitsupdates bereit.

Schwachstellen:

CVE-2016-2054

Schwachstelle in Xymon ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2016-2055

Schwachstelle in Xymon ermöglicht Ausspähen von Informationen

CVE-2016-2056

Schwachstelle in Xymon ermöglicht das Einschleusen von Shell-Kommandos

CVE-2016-2057

Schwachstelle in Xymon ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-2058

Schwachstelle in Xymon ermöglicht Cross-Site-Scripting-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.