Рекомендация Debian по безопасности
DSA-893-1 acidlab -- отсутствие очистки входных данных
- Дата сообщения:
- 14.11.2005
- Затронутые пакеты:
- acidlab
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 335998, Ошибка 336788.
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 15199.
В каталоге Mitre CVE: CVE-2005-3325. - Более подробная информация:
-
Ремко Вкрхоф обнаружил уязвимости в acidlab, Analysis Console for Intrusion Databases, и в acidbase, Basic Analysis and Security Engine, которые могут использоваться злоумышленниками для выполнения SQL-инъекций.
Сопровождающие Analysis Console for Intrusion Databases (ACID) в Debian, ответвление которого является BASE, после аудита безопасности BASE и ACID определили, что эта уязвимость касается не только компонентов base_qry_main.php (в BASE) или acid_qry_main.php (в ACID), но присутствует и в других элементах консолей из-за неправильной проверки и фильтрации параметров.
Все обнаруженные ошибки, связанные с SQL-инъекцией и межсайтовым скриптингом, были исправлены в пакете Debian, закрыты все выявленные векторы атак.
В предыдущем стабильном выпуске (woody) эта проблема была исправлена в версии 0.9.6b20-2.1.
В стабильном выпуске (sarge) эта проблема была исправлена в версии 0.9.6b20-10.1.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 0.9.6b20-13 и в версии 1.2.1-1 пакета acidbase.
Рекомендуется обновить пакеты acidlab и acidbase.
- Исправлено в:
-
Debian GNU/Linux 3.0 (woody)
- Исходный код:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-2.1_all.deb
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.dsc
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-doc_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-pgsql_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab_0.9.6b20-10.1_all.deb
- http://security.debian.org/pool/updates/main/a/acidlab/acidlab-mysql_0.9.6b20-10.1_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.