[Gutl-l] Fw: una-al-dia (09/01/2012) Debian actualiza su paquete Cacti para corregir vulnerabilidades de hace dos años

[Damián Tomey Soto]

----- Original Message ----- 
From: <notic...@hispasec.com>
To: <unaal...@hispasec.com>
Sent: Tuesday, January 10, 2012 5:47 AM
Subject: una-al-dia (09/01/2012) Debian actualiza su paquete Cacti para 
corregir vulnerabilidades de hace dos años


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
 Hispasec - una-al-día                                  09/01/2012
 Todos los días una noticia de seguridad          www.hispasec.com
 Síguenos en Twitter: http://twitter.com/unaaldia
-------------------------------------------------------------------

Debian actualiza su paquete Cacti para corregir vulnerabilidades de
hace dos años
-------------------------------------------------------------------

Debian ha publicado un nuevo paquete de Cacti que corrige cinco
vulnerabilidades encontradas en 2010 y 2011.

Cacti es un software especialmente diseñado para crear gráficas de
monitorización mediante los datos obtenidos por diferentes herramientas
que emplean el estándar RRDtool. Es uno de los sistemas de creación de
gráficas más empleado en el mundo de la administración de sistemas y
puede encontrarse como parte fundamental de otros programas.

Las vulnerabilidades corregidas con esta actualización son:

* CVE-2010-1644: Corrige múltiples vulnerabilidades de cross site
scripting. Un atacante remoto podría inyectar código arbitrario a través
de los parámetros "hostname" y "description" pasados al fichero host.php
o a través del parámetro "host_id" del fichero "data_sources.php".

* CVE-2010-1645: Corrige un error por el que administrador remoto
autenticado podría ejecutar comandos arbitrarios mediante metacaracteres
de shell.

* CVE-2010-2543: Corrige un error en el fichero "top_graph_header.php"
por el que un atacante remoto podría ejecutar scripts a través del
parámetro "graph_start".

* CVE-2010-2545: Corrige errores de cross site scripting.

* CVE-2011-4824: Existe un error en la comprobación de los datos pasados
a través del parámetro "login_username" del fichero "auth_login.php" que
permitiría a un atacante remoto ejecutar sentencias SQL especialmente
manipuladas.

Opina sobre esta noticia:
http://unaaldia.hispasec.com/2012/01/debian-actualiza-su-paquete-cacti-para.html#comments

Más información:

DSA-2384-1 cacti -- several vulnerabilities
http://www.debian.org/security/2012/dsa-2384


Borja Luaces
blua...@hispasec.com


Tal día como hoy:
-----------------

09/01/2011: Corregido el fallo de la "constante" en PHP
   http://www.hispasec.com/unaaldia/4460

09/01/2010: Actualización crítica para Adobe Illustrator
   http://www.hispasec.com/unaaldia/4095

09/01/2009: Ejecución de código a través del plugin gen_msn de Winamp
   http://www.hispasec.com/unaaldia/3730

09/01/2008: Nuevos contenidos en la Red Temática CriptoRed (diciembre de 
2007)
   http://www.hispasec.com/unaaldia/3364

09/01/2007: Cuatro boletines de seguridad de Microsoft en enero
   http://www.hispasec.com/unaaldia/2999

09/01/2006: Múltiples vulnerabilidades en Lotus Domino
   http://www.hispasec.com/unaaldia/2634

09/01/2005: Vulnerabilidades en SOLDNER
   http://www.hispasec.com/unaaldia/2269

09/01/2004: Gusanos con talón de Aquiles
   http://www.hispasec.com/unaaldia/1902

09/01/2003: Versiones del gusano Lirva (alias Avril, Avron, Naith)
   http://www.hispasec.com/unaaldia/1537

09/01/2002: Rebrote del falso virus "Sulfnbk.exe"
   http://www.hispasec.com/unaaldia/1172

09/01/2001: Grave vulnerabilidad en servidores Oracle
   http://www.hispasec.com/unaaldia/807

09/01/2000: Mitos sobre ICMP
   http://www.hispasec.com/unaaldia/439

09/01/1999: Un nuevo troyano roba información
   http://www.hispasec.com/unaaldia/74


-------------------------------------------------------------------
 Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
 Bajas:   mailto:unaaldia-requ...@hispasec.com?subject=unsubscribe
 Altas:   mailto:unaaldia-requ...@hispasec.com?subject=subscribe
-------------------------------------------------------------------
 (c) 2012 Hispasec               http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (MingW32)

iQEcBAEBAgAGBQJPDCP4AAoJEI/UizGiFA4PeQYH/0ew96XbwEu3R3IhhsfaySZO
7ZL+6hwrIr944aArYwf1VIcBC9pa9bQk5cxrPkDKn6EALIcAjxPufLfmrDWe4fPG
6RC1mBlV/PDi7ZiwBjcRp2L+sRsPfn0VNjWLuSFgID/3EoUdxV+DSGgrDKIqGjrJ
WQi/KH+fpBnUcW03PG/H/ANyX82mAAsPPx8rXCEIMYzB8Dw4tiWmCbv8I+GAEEem
CFYKAXcNAuKPifRbeMxnYWo44je6t+inkNATnhYEAlLgV+WlCUg3pY/Ym7R8A7rP
9i1WDlTJ0bkK7X/ZfdlSS98CWQ2InkKvMNg1GQrs5PIwePg0YRJuY9AWdRsFh0U=
=62XG
-----END PGP SIGNATURE-----




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l