2020-0721: Cacti: Mehrere Schwachstellen ermöglichen u. a. Cross-Site-Request-Forgery-Angriffe

Historie:

Version 1 (2020-04-08 11:32): Neues Advisory
Version 2 (2020-05-28 10:23): Für Fedora 31 und 32 sowie Fedora EPEL 7 und 8 stehen jeweils die Pakete 'cacti-1.2.12-1' und 'cacti-spine-1.2.12-1' zur Verfügung, um die Schwachstellen CVE-2020-13230 und CVE-2020-13231 zu beheben. Die Sicherheitsupdates für Fedora 31 und Fedora EPEL 7 befinden sich im Status 'testing', während diejenigen für Fedora 31 und Fedora EPEL 8 derzeit noch 'pending' sind.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter Angreifer, der in manchen Fällen über übliche Benutzerrechte verfügt, kann Sicherheitsvorkehrungen Umgehen, einen Cross-Site-Scripting (XSS)-Angriff und Cross-Site-Request-Forgery (CSRF)-Angriffe durchführen. Einige Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein. Ein Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für Cacti steht die Version 1.2.11 als Sicherheitsupdate zur Verfügung. Mit dieser Version von Cacti wird gleichzeitig das gebündelte jQuery auf die Version 3.4.1 aktualisiert, um die Cross-Site-Scripting (XSS)-Schwachstelle CVE-2019-11358 zu beheben.

Für Fedora 30 und 31 sowie Fedora EPEL 7 und 8 stehen jeweils die Pakete 'cacti-1.2.11-1' und 'cacti-spine-1.2.11-1' im Status 'testing' als Sicherheitsupdate zur Verfügung.

Schwachstellen:

CACTI-SECURITY-1566

Schwachstelle in Cacti ermöglicht Cross-Site-Request-Forgery-Angriff

CACTI-SECURITY-1985

Schwachstelle in Cacti ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-13230