Debians sikkerhedsbulletin
DSA-3495-1 xymon -- sikkerhedsopdatering
- Rapporteret den:
- 29. feb 2016
- Berørte pakker:
- xymon
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-2054, CVE-2016-2055, CVE-2016-2056, CVE-2016-2057, CVE-2016-2058.
- Yderligere oplysninger:
-
Markus Krell opdagede at xymon, et system til overvågning af netværk og applikationer, var sårbart over for følgende sikkerhedsproblemer:
- CVE-2016-2054
Ukorrekt håndtering af brugerleverede inddata til kommandoen
config
, kunne udløse et stakbaseret bufferoverløb, medførende lammelsesangreb (gennem applikationsnedbrud) eller fjernudførelse af kode. - CVE-2016-2055
Ukorrekt håndtering af brugerleverede inddata til kommandoen
config
, kunne føre til en informationslækage, ved at levere følsomme opsætningsfiler til en fjernbruger. - CVE-2016-2056
Kommandoerne, der håndterer adgangskoder, validerede ikke på korrekt vis brugerleverede inddata, og var dermed sårbare over for en fjernbrugeres indsprøjtning af shell-kommandoer.
- CVE-2016-2057
Ukorrekte rettigheder på et internt køsystem, gjorde det muligt for en bruger med en lokal konto på xymon-masterserveren, at omgå alle netværksbaserede kontrollister, og dermed sprøjte meddelelser direkte ind i xymon.
- CVE-2016-2058
Ukorrekt escaping af brugerleverede inddata i statuswebsider, kunne anvendes til at udløse reflekterede angreb i forbindelse med udførelse af skripter på tværs af websteder.
I den stabile distribution (jessie), er disse problemer rettet i version 4.3.17-6+deb8u1.
Vi anbefaler at du opgraderer dine xymon-pakker.
- CVE-2016-2054