Debian ha publicado un nuevo paquete de Cacti que corrige cinco vulnerabilidades encontradas en 2010 y 2011.
Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Las vulnerabilidades corregidas con esta actualización son:
-
CVE-2010-1644: Corrige múltiples vulnerabilidades de cross site scripting. Un atacante remoto podría inyectar código arbitrario a través de los parámetros «hostname» y «description» pasados al fichero host.php o a través del parámetro «host_id» del fichero «data_sources.php«.
-
CVE-2010-1645: Corrige un error por el que administrador remoto autenticado podría ejecutar comandos arbitrarios mediante metacaracteres de shell.
-
CVE-2010-2543: Corrige un error en el fichero «top_graph_header.php» por el que un atacante remoto podría ejecutar scripts a través del parámetro «graph_start«.
-
CVE-2010-2545: Corrige errores de cross site scripting.
-
CVE-2011-4824: Existe un error en la comprobación de los datos pasados a través del parámetro «login_username» del fichero «auth_login.php» que permitiría a un atacante remoto ejecutar sentencias SQL especialmente manipuladas.
Más información:
DSA-2384-1 cacti — several vulnerabilities
Borja Luaces
