2016-0666: Cacti: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-04-26 13:16)

Neues Advisory

Version 2 (2016-05-11 12:06)

Für Fedora 22, 23 und 24 werden Sicherheitsupdates auf die Cacti-Version 0.8.8h im Status 'testing' bereitgestellt, womit die Schwachstellen CVE-2016-2313, CVE-2016-3172 und CVE-2016-3659 geschlossen werden. Für Fedora EPEL 6 und 7 steht ebenfalls ein Sicherheitsupdate auf die Cacti-Version 0.8.8h im Status 'testing' bereit.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Cacti ermöglichen auch einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes, das Einschleusen von SQL-Kommandos und die Durchführung von Cross-Site-Scripting-Angriffen.

Für die Distributionen Fedora 22, 23 und 24 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf die Cacti-Version 0.8.8g im Status 'testing' zur Verfügung.

Für Fedora EPEL 6 und 7 werden sämtliche der hier genannten Schwachstellen adressiert, auch die CVE-2016-3172 und CVE-2016-3659, die in der Version 0.8.8g bestehen. Für Fedora 22, 23 und 24 werden nur die Schwachstellen CVE-2015-4454, CVE-2015-2665 und CVE-2015-4342 als behoben aufgeführt.

Schwachstellen:

CVE-2014-2326

Cacti: Schwachstelle ermöglicht Cross-Site-Scripting

CVE-2014-2327

Schwachstelle in Cacti ermöglicht Ausführung beliebiger Befehle

CVE-2014-2328

Cacti: Schwachstelle ermöglicht Ausführung von beliebigen Befehlen

CVE-2015-2665

Schwachstelle in Cacti erlaubt Cross-Site-Scripting

CVE-2015-4342

Schwachstelle in Cacti erlaubt Ausführen beliebiger SQL-Befehle

CVE-2015-4454

Schwachstelle in Cacti erlaubt Ausführen beliebiger SQL-Befehle

CVE-2015-4634

Schwachstelle in cacti ermöglicht SQL-Injection-Angriffe

CVE-2015-8369

Schwachstelle in Cacti ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-8377

Schwachstelle in Cacti ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-8604

Schwachstelle in Cacti ermöglicht Ausführung beliebigen Programmcodes

CVE-2016-2313

Schwachstelle in Cacti ermöglicht Erlangen von Benutzerrechten

CVE-2016-3172

Schwachstelle in Cacti ermöglicht das Einschleusen von SQL-Kommandos

CVE-2016-3659

Schwachstelle in Cacti ermöglicht das Einschleusen von SQL-Kommandos

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.