Säkerhetsbulletin från Debian
DSA-764-1 cacti -- flera sårbarheter
- Rapporterat den:
- 2005-07-21
- Berörda paket:
- cacti
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 316590, Fel 315703.
I Mitres CVE-förteckning: CVE-2005-1524, CVE-2005-1525, CVE-2005-1526, CVE-2005-2148, CVE-2005-2149. - Ytterligare information:
-
Flera sårbarheter har upptäckts i cacti, ett databasverktyg (RRD) som gör det möjligt att skapa grafer från information i databaser. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CAN-2005-1524
Maciej Piotr Falkiewicz och en anonym forskare upptäckte ett indatavalideringsfel som gör det möjligt för en angripare att inkludera godtycklig PHP-kod från andra maskiner, vilket tillåter exekvering av godtycklig kod på servern som kör cacti.
- CAN-2005-1525
På grund av saknad indatavalidering gör cacti det möjligt för en angripare utifrån att infoga godtyckliga SQL-kommandon.
- CAN-2005-1526
Maciej Piotr Falkiewicz upptäckte ett indatavalideringsfel som gör det möjligt för en angripare att inkludera godtycklig PHP-kod från andra maskiner, vilket tillåter exekvering av godtycklig kod på servern som kör cacti.
- CAN-2005-2148
Stefan Esser upptäckte att uppdateringen för ovan nämnda sårbarheter inte utför tillräcklig indatavalidering för att skydda mot vanliga angrepp.
- CAN-2005-2149
Stefan Esser upptäckte att uppdateringen för CAN-2005-1525 gör det möjligt för angripare utifrån att ändra sessionsinformation och därmed få tillgång till och inaktivera användningen av addslashes för att skydda mot SQL-injicering.
För den gamla stabila utgåvan (Woody) har dessa problem rättats i version 0.6.7-2.5.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 0.8.6c-7sarge2.
För den instabila utgåvan (Sid) har dessa problem rättats i version 0.8.6f-2.
Vi rekommenderar att ni uppgraderar ert cacti-paket.
- CAN-2005-1524
- Rättat i:
-
Debian GNU/Linux 3.0 (woody)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.