Vulnérabilités : Encore Cacti !
Cacti est victime d'une faille XSS (Cross-Site Scripting) au sein des fichiers "install/index.php" et "cacti/host.php" ainsi que d'une faille de type injection SQL possible également dans le fichier "cacti/host.php".
Les références sont les suivantes : CVE-2013-5588 / CVE-2013-5589
Voici les versions corrigées selon votre version de Debian :
- Debian Squeeze : corrigé dans la version 0.8.7g-1+squeeze3.
- Debian Wheezy : corrigé dans la version 0.8.8a+dfsg-5+deb7u2.
- Debian Sid : corrigé dans la version 0.8.8b+dfsg-3.
Je vous rappelle que plusieurs vulnérabilités ont déjà été découvertes dans Cacti il y a quelques jours seulement.
Bonjour,
intéressant cet article, merci pour le partage.
Pourrais-je avoir un avis objectif quant à l’efficacité de Cacti (exploitation, difficulté de mise en oeuvre,…) car je voudrais le mettre en place au sein d’un LAN sur un serveur www portable.
J’ai déjà récupéré l’arborescence des fichiers (et non pas les binaires d’installation). Je bloque actuellement sur une extension php (pourtant activée) requise par l’application : php_sockets.dll. Le programme semble ne pas parvenir à l’exploiter… à moins que le pb ne soit ailleurs.
Cdlt
Ed