Atualização moderada de segurança do openSUSE para o cacti, cacti-spine, aviso openSUSE: 2020:1060-1

Confira !



Uma atualização que corrige quatro vulnerabilidades já está disponível.
   Atualização de segurança do openSUSE: Atualização de segurança para cactos, cacti-spine
______________________________________________________________________________

ID do anúncio: openSUSE-SU-2020: 1060-1
Classificação: moderado
Referências: # 1115436 # 1154087 # 1173090
Referências cruzadas: CVE-2020-11022 CVE-2020-11023 CVE-2020-13625
                    CVE-2020-14295
Produtos afetados:
                    openSUSE Leap 15.2
                    openSUSE Leap 15.1
                    SUSE Package Hub para SUSE Linux Enterprise 12
______________________________________________________________________________

   Uma atualização que corrige quatro vulnerabilidades já está disponível.

Descrição:

   Esta atualização para cactos, cacti-spine corrige os seguintes problemas:

   - cactos 1.2.13:

     * As vulnerabilidades de consulta XSS exigem atualização do pacote do fornecedor
       (CVE-2020-11022 / CVE-2020-11023)
     * A falta de escape em algumas páginas pode levar à exposição ao XSS
     * Atualize o PHPMailer para 6.1.6 (CVE-2020-13625)
     * Vulnerabilidade de injeção SQL devido a falha na validação de entrada quando
       edição de cores (CVE-2020-14295, boo # 1173090)
     * A falta de escape na importação de modelos pode levar à exposição ao XSS

   - mude de cron para cronômetros systemd (boo # 1115436):
     + cacti-cron.timer
     + cacti-cron.service
   - evite potencial escalonamento de raiz em sistemas com fs.protected_hardlinks = 0
     (boo # 1154087): manipule permissões de diretório na seção arquivo
     do uso de chown durante a pós-instalação
   - reescreveu a configuração do apache para se livrar dos arquivos .htaccess e
     desabilite explicitamente as permissões de diretório por padrão (permita apenas uma
     conjunto de diretórios conhecido e limitado)


Instruções de patch:

   Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
   como o YaST online_update ou "zypper patch".

   Como alternativa, você pode executar o comando listado para o seu produto:

   - openSUSE Leap 15.2:

      zypper no patch -t openSUSE-2020-1060 = 1

   - openSUSE Leap 15.1:

      zypper no patch -t openSUSE-2020-1060 = 1

   - SUSE Package Hub para SUSE Linux Enterprise 12:

      zypper no patch -t openSUSE-2020-1060 = 1



Lista de Pacotes:

   - openSUSE Leap 15.2 (noarch):

      cacti-1.2.13-lp152.2.3.1

   - openSUSE Leap 15.2 (x86_64):

      cacti-spine-1.2.13-lp152.2.3.1
      cacti-spine-debuginfo-1.2.13-lp152.2.3.1
      cacti-spine-debugsource-1.2.13-lp152.2.3.1

   - openSUSE Leap 15.1 (noarch):

      cacti-1.2.13-lp151.3.12.1

   - openSUSE Leap 15.1 (x86_64):

      cacti-spine-1.2.13-lp151.3.12.1
      cacti-spine-debuginfo-1.2.13-lp151.3.12.1
      cacti-spine-debugsource-1.2.13-lp151.3.12.1

   - SUSE Package Hub para SUSE Linux Enterprise 12 (aarch64 ppc64le s390x x86_64):

      cacti-spine-1.2.13-8.1

   - SUSE Package Hub para SUSE Linux Enterprise 12 (ppc64le x86_64):

      cacti-spine-debuginfo-1.2.13-8.1
      cacti-spine-debugsource-1.2.13-8.1

   - SUSE Package Hub para SUSE Linux Enterprise 12 (noarch):

      cacti-1.2.13-11.1


Referências:

   https://www.suse.com/security/cve/CVE-2020-11022.html
   https://www.suse.com/security/cve/CVE-2020-11023.html
   https://www.suse.com/security/cve/CVE-2020-13625.html
   https://www.suse.com/security/cve/CVE-2020-14295.html
   https://bugzilla.suse.com/1115436
   https://bugzilla.suse.com/1154087
   https://bugzilla.suse.com/1173090

-

Fonte

Até a próxima !