Debian セキュリティ勧告

DSA-764-1 cacti -- 複数の脆弱性

報告日時:

2005-07-21

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

詳細:

データベースの情報からのグラフ作成を支援するラウンドロビンデータベース (RRD) ツール cacti に複数の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

CAN-2005-1524
Maciej Piotr Falkiewicz さんと匿名の研究者が入力検証のバグを発見しました。これにより、攻撃者がリモートサイトから任意の PHP コードを差し込むことが可能で、cacti を実行しているサーバで任意のコードの実行を許します。
CAN-2005-1525
入力検証欠落のため、cacti はリモートの攻撃者に任意の SQL 文の差し込みを許します。
CAN-2005-1526
Maciej Piotr Falkiewicz さんが入力検証のバグを発見しました。これにより、攻撃者がリモートサイトから任意の PHP コードを差し込むことが可能で、cacti を実行しているサーバで任意のコードの実行を許します。
CAN-2005-2148
Stefan Esser さんが、前述の脆弱性に対する更新では適切な入力検証を実施しておらず、一般的な攻撃に対する保護とならないことを発見しました。
CAN-2005-2149
Stefan Esser さんが、CAN-2005-1525 に対する更新がセッション情報を変更して権限を獲得し、SQL インジェクションに対する保護のための addslashes の使用の無効化をリモートの攻撃者に許すことを発見しました。

旧安定版 (old stable) ディストリビューション (woody) では、この問題はバージョン 0.6.7-2.5 で修正されています。

安定版 (stable) ディストリビューション (sarge) では、この問題はバージョン 0.8.6c-7sarge2 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.8.6f-2 で修正されています。

直ちに cacti パッケージをアップグレードすることを勧めます。パッケージ.

修正:

ソース:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb

ソース:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz; http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。