S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 20 novembre 2007
N° CERTA-2007-AVI-504
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans Cacti

Gestion du document

Référence CERTA-2007-AVI-504
Titre Vulnérabilité dans Cacti
Date de la première version20 novembre 2007
Date de la dernière version20 novembre 2007
Source(s) Note de sortie Cacti 0.8.7a
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Cacti versions antérieures à 0.8.7a.

Résumé

Une vulnérabilité de Cacti permet de contourner la politique de sécurité.

Description

Un défaut de contrôle d'une variable permet à un utilisateur distant de contourner la politique de sécurité par le biais d'une injection de requête SQL à distance (Remote SQL Injection).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 novembre 2007
    version initiale.