S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 février 2008
N° CERTA-2008-AVI-082
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Cacti

Gestion du document

Référence CERTA-2008-AVI-082
Titre Multiples vulnérabilités dans Cacti
Date de la première version13 février 2008
Date de la dernière version13 février 2008
Source(s) Notes de changement de Cacti 0.8.7b
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Injection de code indirecte

Systèmes affectés

  • Cacti versions antérieures à 0.8.6k.
  • Cacti versions antérieures à 0.8.7b ;

Résumé

De multiples vulnérabilités dans Cacti permettent à une personne malintentionnée de contourner la politique de sécurité, de porter atteinte à l'intégrité et la confidentialité des données et d'effectuer une injection de code indirecte.

Description

De multiples vulnérabilités ont été identifiées dans Cacti :

  • des failles de type injection de code indirecte (cross-site scripting);
  • des vulnérabilités pouvant révéler le chemin d'installation ;
  • des vulnérabilités de type injection SQL ;
  • des vulnérabilités de type HTTP response splitting.

Solution

Se référer aux notes de changement pour Cacti de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 février 2008
    version initiale.