Информация по безопасности / 2016 / Информация о безопасности -- DSA-3495-1 xymon

Рекомендация Debian по безопасности

DSA-3495-1 xymon -- обновление безопасности

Дата сообщения:

29.02.2016

Затронутые пакеты:

xymon

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2054, CVE-2016-2055, CVE-2016-2056, CVE-2016-2057, CVE-2016-2058.

Более подробная информация:

Маркус Крелл обнаружил, что xymon, система мониторинга сети и приложений, уязвима к следующим проблемам безопасности:

• CVE-2016-2054

  Некорректная обработка передаваемых пользователем входных данных в команде config может приводить к переполнению буфера, что приводит к отказу в обслуживании (из-за аварийной остановки приложения) или удалённому выполнению кода.

• CVE-2016-2055

  Некорректная обработка передаваемых пользователем данных в команде config может приводить к утечке информации из-за передачи файлов настроек удалённому пользователю.

• CVE-2016-2056

  Команды, служащие для управления паролями, неправильно выполняют проверку передаваемых пользователем входных данных, и потому уязвимы к инъекции команд командной оболочки, которая может быть выполнена удалённым пользователем.

• CVE-2016-2057

  Некорректные права доступа к внутренней системе очереди позволяют пользователю, имеющему локальную учётную запись на главном сервере xymon, обойти все управляющие списки прав сетевого доступа и ввести сообщения напрямую в xymon.

• CVE-2016-2058

  Некорректное экранирование передаваемых пользователем данных на страницах статуса может использоваться для осуществления атак по принципу межсайтового скриптинга.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 4.3.17-6+deb8u1.

Рекомендуется обновить пакеты xymon.