Säkerhetsbulletin från Debian
DSA-3495-1 xymon -- säkerhetsuppdatering
- Rapporterat den:
- 2016-02-29
- Berörda paket:
- xymon
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-2054, CVE-2016-2055, CVE-2016-2056, CVE-2016-2057, CVE-2016-2058.
- Ytterligare information:
-
Markus Krell upptäckte att xymon, ett nätverks- och applikationsövervakningssystem, var sårbart för följande säkerhetsproblem:
- CVE-2016-2054
Felaktig hantering av användartillhandahållen indata i
config
-kommandot kan trigga ett stack-baserat buffertspill, vilket resulterar i en överbelastning (via applikationskrasch) eller fjärrkörning av kod. - CVE-2016-2055
Felaktig hantering av användartillhandahållen indata i
config
-kommandot kan leda till ett informationsläckage genom att tillhandahålla känsliga konfigurationsfiler till en fjärranvändare. - CVE-2016-2056
Kommandona som hanterar lösenord validerar inte användartillhandahållen input ordentligt, och är därmed sårbara för skalkommandoinjicering av en fjärrangripare.
- CVE-2016-2057
Felaktiga rättigheter på ett internt kösystem tillåter en användare med ett lokalt konto på xymon masterservern att förbigå alla nätverksbaserade åtkomstkontrolllistor, och därmed injicera meddelanden direkt in i xymon.
- CVE-2016-2058
Felaktig avslutning av användartillhandahållen indata i statuswebbsidor kan användas för att trigga reflekterade sajtöverskridande skriptangrepp.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 4.3.17-6+deb8u1.
Vi rekommenderar att ni uppgraderar era xymon-paket.
- CVE-2016-2054