Cacti es un software especialmente diseñado para crear gráficas de monitorización mediante los datos obtenidos por diferentes herramientas que emplean el estándar RRDtool. Es uno de los sistemas de creación de gráficas más empleado en el mundo de la administración de sistemas y puede encontrarse como parte fundamental de otros programas.
Las vulnerabilidades corregidas con esta actualización son:
* CVE-2010-1644: Corrige múltiples vulnerabilidades de cross site scripting. Un atacante remoto podría inyectar código arbitrario a través de los parámetros "hostname" y "description" pasados al fichero host.php o a través del parámetro "host_id" del fichero "data_sources.php".
* CVE-2010-1645: Corrige un error por el que administrador remoto autenticado podría ejecutar comandos arbitrarios mediante metacaracteres de shell.
* CVE-2010-2543: Corrige un error en el fichero "top_graph_header.php" por el que un atacante remoto podría ejecutar scripts a través del parámetro "graph_start".
* CVE-2010-2545: Corrige errores de cross site scripting.
* CVE-2011-4824: Existe un error en la comprobación de los datos pasados a través del parámetro "login_username" del fichero "auth_login.php" que permitiría a un atacante remoto ejecutar sentencias SQL especialmente manipuladas.
Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/debian-actualiza-su-paquete-cacti-para.html#comments
Más información:
DSA-2384-1 cacti -- several vulnerabilities
http://www.debian.org/security/2012/dsa-2384
Fuente:
Borja Luaces
bluaces@hispasec.com
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
