Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
xymon
(any)
Описание
Множественные уязвимости в xymon:
CVE-2016-2054
Переполнение буфера в стеке в команде config, связанное с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код.
CVE-2016-2055
Уязвимость в команде config, связанная с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, получить доступ к конфиденциальной информации (файлам конфигурации).
CVE-2016-2056
Уязвимость в командах для работы с паролями, связанная с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, внедрить shell-команды.
CVE-2016-2057
Уязвимость, связанная с некорректными разрешениями во внутренней системе очереди, позволяет локальным пользователям обойти все ограничения сетевых списков контроля доступа и внедрить сообщения напрямую в xymon.
CVE-2016-2058
Уязвимость, связанная с некорректной обработкой входных данных пользователя на веб-страницах состояния, позволяет осуществить отраженное межсайтовое выполнение сценариев.
Для стабильного дистрибутива (jessie) уязвимости устранены в версии 4.3.17-6+deb8u1.
Рекомендуется обновить пакеты xymon.
CVE-2016-2054
Переполнение буфера в стеке в команде config, связанное с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, вызвать отказ в обслуживании (аварийное завершение работы приложения) или выполнить произвольный код.
CVE-2016-2055
Уязвимость в команде config, связанная с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, получить доступ к конфиденциальной информации (файлам конфигурации).
CVE-2016-2056
Уязвимость в командах для работы с паролями, связанная с некорректной обработкой входных данных пользователя, позволяет злоумышленникам, действующим удаленно, внедрить shell-команды.
CVE-2016-2057
Уязвимость, связанная с некорректными разрешениями во внутренней системе очереди, позволяет локальным пользователям обойти все ограничения сетевых списков контроля доступа и внедрить сообщения напрямую в xymon.
CVE-2016-2058
Уязвимость, связанная с некорректной обработкой входных данных пользователя на веб-страницах состояния, позволяет осуществить отраженное межсайтовое выполнение сценариев.
Для стабильного дистрибутива (jessie) уязвимости устранены в версии 4.3.17-6+deb8u1.
Рекомендуется обновить пакеты xymon.
Как исправить
Для устранения уязвимости необходимо установить следующие версии пакетов, соответствующие используемой архитектуре:
Debian GNU/Linux 8:
для всех архитектур:
xymon - 4.3.17-6+deb8u1
Debian GNU/Linux 8:
для всех архитектур:
xymon - 4.3.17-6+deb8u1
Ссылки
http://www.debian.org/security/dsa-3495/
Источник: CVE
Наименование: CVE-2016-2057
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2057
Источник: CVE
Наименование: CVE-2016-2056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2056
Источник: CVE
Наименование: CVE-2016-2055
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2055
Источник: CVE
Наименование: CVE-2016-2054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2054
Источник: CVE
Наименование: CVE-2016-2058
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2058
Источник: CVE
Наименование: CVE-2016-2057
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2057
Источник: CVE
Наименование: CVE-2016-2056
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2056
Источник: CVE
Наименование: CVE-2016-2055
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2055
Источник: CVE
Наименование: CVE-2016-2054
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2054
Источник: CVE
Наименование: CVE-2016-2058
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2058
