CERTA : Multiples vulnérabilités dans Cacti
février 2008 par CERT-FR
1 Risque
* Contournement de la politique de sécurité ;
* atteinte à l’intégrité des données ;
* atteinte à la confidentialité des données ;
* injection de code indirecte.
2 Systèmes affectés
* Cacti versions antérieures à 0.8.7b ;
* Cacti versions antérieures à 0.8.6k.
3 Résumé
De multiples vulnérabilités dans Cacti permettent à une personne
malintentionnée de contourner la politique de sécurité, de porter atteinte à
l’intégrité et la confidentialité des données et d’effectuer une injection de
code indirecte.
4 Description
De multiples vulnérabilités ont été identifiées dans Cacti :
* des failles de type injection de code indirecte (cross-site scripting) ;
* des vulnérabilités pouvant révéler le chemin d’installation ;
* des vulnérabilités de type injection SQL ;
* des vulnérabilités de type HTTP response splitting.
5 Solution
Se référer aux notes de changement pour Cacti de l’éditeur pour l’obtention des
correctifs (cf. section Documentation).
6 Documentation
* Notes de changement pour Cacti 0.8.7b :