Debians sikkerhedsbulletin
DSA-893-1 acidlab -- manglende kontrol af inddata
- Rapporteret den:
- 14. nov 2005
- Berørte pakker:
- acidlab
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 335998, Fejl 336788.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15199.
I Mitres CVE-ordbog: CVE-2005-3325. - Yderligere oplysninger:
-
Remco Verhoef har opdaget en sårbarhed i acidlab, Analysis Console for Intrusion Databases, og i acidbase, Basic Analysis and Security Engine, der kunne udnyttes af ondsindede brugere til at udføre SQL-indsprøjtningsangreb.
Vedligeholderne af Analysis Console for Intrusion Databases (ACID) i Debian, som BASE er afledt af, har efter en sikkerhedsaudit af både BASE og ACID konstateret at den fundne fejl ikke kun påvirkede komponenterne base_qry_main.php (i BASE) og acid_qry_main.php (i ACID), men også fandtes i andre elementer i konsollerne på grund af ukorrekt validering og filtrering af parametre.
Alle de fundne fejl i forbindelse med SQL-indspøjtning og udførelse af skripter på tværs af websteder (cross site scripting) er rettet i Debian-pakken, hvilket lukker alle de fundne angrebsvektorer.
I den gamle stabile distribution (woody) er dette problem rettet i version 0.9.6b20-2.1.
I den stabile distribution (sarge) er dette problem rettet i version 0.9.6b20-10.1.
I den ustabile distribution (sid) er dette problem rettet i version 0.9.6b20-13 og i version 1.2.1-1 af acidbase.
Vi anbefaler at du opgraderer dine acidlab- og acidbase-pakker.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.