Debian-Sicherheitsankündigung
DSA-893-1 acidlab -- Fehlende Entschärfung der Eingabe
- Datum des Berichts:
- 14. Nov 2005
- Betroffene Pakete:
- acidlab
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 335998, Fehler 336788.
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15199.
In Mitres CVE-Verzeichnis: CVE-2005-3325. - Weitere Informationen:
-
Remco Verhoef entdeckte eine Verwundbarkeit in acidlab (
Analysis Console for Intrusion Databases
) und in acidbase (Basic Analysis and Security Engine
), die von böswilligen Benutzern ausgenutzt werden kann, um Angriffe durch Einschleusen von SQL durchzuführen.Die Betreuer von
Analysis Console for Intrusion Databases
(ACID) in Debian, wovon BASE eine Abspaltung ist, haben nach einem Sicherheits-Audit von ACID und BASE festgestellt, dass der gefundene Fehler nicht nur die Komponenten base_qry_main.php (in BASE) und acid_qry_main.php (in ACID) betrifft. Stattdessen konnte der Fehler auf Grund von ungenügender Eingabeüberprüfung und -filterung auch in anderen Komponenten der Konsolen gefunden werden.Sämtliche Fehler, die auf SQL-Einschleusung und Site-übergreifendem Skripting beruhen, sind im Debian-Paket behoben. Dadurch werden alle entdeckten unterschiedlichen Angriffsvektoren unwirksam.
Für die alte Stable-Distribution (Woody) wurde dieses Problem in Version 0.9.6b20-2.1 behoben.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 0.9.6b20-10.1 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 0.9.6b20-13 und in Version 1.2.1-1 von acidbase behoben.
Wir empfehlen Ihnen, Ihr acidlab and acidbase-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.