Debian DSA-4604-1 : cacti - セキュリティ更新

high Nessus プラグイン ID 133107

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

サーバー監視システムcactiに複数の問題が見つかりました。これにより、SQLコードの実行や、認証ユーザーによる情報漏洩が発生する可能性があります。

- CVE-2019-16723 認証ユーザーが、local_graph_idパラメーターを変更したリクエストを送信することによって、グラフ表示のための承認チェックを回避する可能性があります。

- CVE-2019-17357 グラフ管理インターフェイスにおいてtemplate_idパラメーターのサニタイズが不十分なため、SQLインジェクションが引き起こされる可能性があります。認証された攻撃者がこの脆弱性を悪用して、データベースで不正なSQLコードを実行する可能性があります。

- CVE-2019-17358 sanitize_unserialize_selected_items関数（lib/functions.php）において、ユーザー入力の逆シリアル化の前に実行するサニタイズが不十分であるため、ユーザー制御データの逆シリアル化が安全でないものになる可能性があります。認証された攻撃者がこの脆弱性を悪用して、プログラムの制御フローに影響を与えたり、メモリ破損を引き起こしたりする可能性があります。

ソリューション

cacti パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション（stretch）では、これらの問題はバージョン0.8.8h+ds1-10+deb9u1で修正されています。stretchに影響するのはCVE-2018-17358のみであることに注意してください。

安定版（stable）ディストリビューション（buster）では、これらの問題はバージョン1.2.2+ds1-2+deb10u2で修正されています。