Se ha publicado una nueva versión de Cacti (0.8.8d) destinada a corregir, entre otros problemas, varios fallos de seguridad. Estos errores permitirían a un atacante remoto realizar ataques de inyección SQL y de Cross-Site scripting.
Cacti es un software
especialmente diseñado para crear gráficas de monitorización mediante los datos
obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno
de los sistemas de creación de gráficas más empleado en el mundo de la
administración de sistemas y puede encontrarse como parte fundamental de otros
programas.
Los errores se
detallan a continuación:
- CVE-2015-4342:
Debido a un error de validación de entradas, un atacante remoto podría
ejecutar comandos SQL en la base de datos subyacente a través de
parámetros especialmente manipulados. El parámetro "cdef id" se
encuentra relacionado con esta vulnerabilidad.
- CVE-2015-2665:
Se debe a un error al no filtrar correctamente código HTML proporcionado
por el usuario. Un atacante remoto podría ejecutar código arbitrario en el
contexto del usuario que lanza el navegador, lo que le permitiría obtener
acceso a las cookies del usuario, incluidas las de autenticación.
Recomendación
·
Se recomienda actualizar a la última versión
0.8.8d.
Más información:
Fuente: Hispasec