2019-2583: Cacti: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2019-12-12 11:13)
- Neues Advisory
- Version 2 (2019-12-12 15:49)
- Für Fedora 30 und 31 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates in Form der Pakete 'cacti-1.2.8-1' und 'cacti-spine-1.2.8-1' im Status 'testing' (bis auf Fedora 31) bereit, wodurch Cacti auf Version 1.2.8 aktualisiert und somit die Schwachstellen behoben werden. Die Schwachstelle CVE-2019-16723 wurde bereits mit der Cacti Version 1.2.7 behoben.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein entfernter, einfach authentisierter Angreifer kann einen Denial-of-Service (DoS)-Angriff durchführen oder möglicherweise beliebigen Programmcode ausführen sowie SQL-Befehle zur Ausführung bringen. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen.
Für Cacti steht die Version 1.2.8 als Sicherheitsupdate zur Verfügung.
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'cacti' auf Version 0.8.8b+dfsg-8+deb8u8 bereit, welches die Schwachstelle CVE-2019-17358 behebt.
Schwachstellen:
CACTI-SECURITY-3066
Schwachstelle in Cacti ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-16723
Schwachstelle in Cacti ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-17357
Schwachstelle in Cacti ermöglicht SQL-InjektionsangriffCVE-2019-17358
Schwachstelle in Cacti ermöglicht u. a. Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.