Zweiter Versuch gegen Sicherheitslücken in Cacti
Der letzte Patch hat die von iDefense gemeldeten Schwachstellen in cacti nicht wirklich beseitigt.
Nach den iDefense-Advisories zu Cacti hat sich Stefan Esser vom Projekt Hardened-PHP die Netzwerkvisualisierungslösung noch einmal vorgenommen und festgestellt, dass einige der gemeldeten Lücken nicht wirklich beseitigt wurden. Außerdem fand Esser weitere Sicherheitsprobleme. Über die Lücken lassen sich SQL-Befehle einschleusen und beliebige Kommandos ausführen. In Version 0.8.6f sollen die Schwachstellen jetzt wirklich beseitigt sein, das Cacti-Team stellt aber auch Patches für die Versionen 0.8.6d und 0.8.6e bereit.
Die Mitglieder des Projekts Hardened-PHP entwickeln Erweiterungen und Patches, die die PHP-Plattform gegen Fehler in PHP sowie in PHP-Skripten absichern sollen.
Siehe dazu auch: (ju)
- Multiple SQL Injection Vulnerabilities von Hardened-PHP
- Remote Command Execution Vulnerability von Hardened-PHP
- Authentification/Addslashes Bypass Vulnerability von Hardened-PHP
- Cacti Release Notes zu 0.8.6f
