Debians sikkerhedsbulletin
DSA-764-1 cacti -- flere sårbarheder
- Rapporteret den:
- 21. jul 2005
- Berørte pakker:
- cacti
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 316590, Fejl 315703.
I Mitres CVE-ordbog: CVE-2005-1524, CVE-2005-1525, CVE-2005-1526, CVE-2005-2148, CVE-2005-2149. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i cacti, et "round-robin"-databaseværktøj (RRD) som hjælper med at fremstille grafer fra databaseoplysninger. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CAN-2005-1524
Maciej Piotr Falkiewicz og en anonym efterforsker har opdaget en fejl i kontrollen af inddata, der gjorde det muligt for en angriber at indlejre vilkårlig PHP-kode fra andre websteder, hvilket tillod udførelse af vilkårlig kode på serveren der kører cacti.
- CAN-2005-1525
På grund af manglende kontrol af inddata tillod cacti at fjernangribere kunne indsætte vilkårlige SQL-kommandoer.
- CAN-2005-1526
Maciej Piotr Falkiewicz har opdaget en fejl ved kontrol af inddata, som gjorde det muligt for en angriber at indsprøjte vilkårlig PHP-kode fra andre websteder, hvilket tillod udførelse af vilkårlig kode på serveren der kører cacti.
- CAN-2005-2148
Stefan Esser har opdaget at opdateringen til de ovenfor nævnte sårbarheder ikke udfører korrekt kontrol af inddata som beskyttelse mod gængse angreb.
- CAN-2005-2149
Stefan Esser har opdaget at opdateringen til CAN-2005-1525 tillader at fjernangribere ændre sessionsoplysninger for at opnå rettigheder og slå anvendelsen af addslashes fra, der beskytter mod indsprøjtning af SQL.
I den gamle stabile distribution (woody) er disse problemer rettet i version 0.6.7-2.5.
I den stabile distribution (sarge) er disse problemer rettet i version 0.8.6c-7sarge2.
I den ustabile distribution (sid) er disse problemer rettet i version 0.8.6f-2.
Vi anbefaler at du opgraderer din cacti-pakke.
- CAN-2005-1524
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.