Debians sikkerhedsbulletin
DSA-1954-1 cacti -- utilstrækkelig fornuftighedskontrol af inddata
- Rapporteret den:
- 16. dec 2009
- Berørte pakker:
- cacti
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 429224.
I Mitres CVE-ordbog: CVE-2007-3112, CVE-2007-3113, CVE-2009-4032. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i cacti, en frontend til rrdtool til overvågning af systemer og services. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2007-3112, CVE-2007-3113
Man opdagede at cacti var sårbar over for et lammelsesangreb via parametrene graph_height, graph_width, graph_start og graph_end. Problemet påvirker kun den gamle stabile distributions (etch) version af cacti.
- CVE-2009-4032
Man opdagede at cacti var sårbar over for flere angreb i forbindelse med udførelse af skripter på tværs af websteder gennem forskellige angrebsvinkler.
- CVE-2009-4112
Man opdagede at cacti gjorde det muligt for autentificerede administratorbrugere, at opnå rettigheder på værtssystemet ved at udføre vilkårlige kommandoer gennem
Data Input Method
i indstillingenLinux - Get Memory Usage
.På nuværende tidspunkt er der ingen rettelse af dette problem. Opstrømsudviklerne vil implementere en hvidlistningspolicy, som kun tillader
sikre
kommandoer. I øjeblikket anbefaler vi at en sådan adgang kun gives til brugere, man har tillid til, og at indstillingerneData Input
ogUser Administration
ellers deaktiveres.
I den gamle stabile distribution (etch), er disse problemer rettet i version 0.8.6i-3.6.
I den stabile distribution (lenny), er dette problem rettet i version 0.8.7b-2.1+lenny1.
I distributionen testing (squeeze), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 0.8.7e-1.1.
Vi anbefaler at du opgraderer dine cacti-pakker.
- CVE-2007-3112, CVE-2007-3113
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.