Säkerhetsbulletin från Debian
DSA-1954-1 cacti -- otillräcklig städning av indata
- Rapporterat den:
- 2009-12-16
- Berörda paket:
- cacti
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 429224.
I Mitres CVE-förteckning: CVE-2007-3112, CVE-2007-3113, CVE-2009-4032. - Ytterligare information:
-
Flera sårbarheter har upptäckts i cacti, ett skal till rrdtool för bevakning av system och tjänster. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2007-3112, CVE-2007-3113
Det upptäcktes att cacti är sårbar för en överbelastning med hjälp av parametrarna graph_height, graph_width, graph_start och graph_end. Detta problem påverkar endast cacti i den gamla stabila utgåvan (Etch).
- CVE-2009-4032
Det upptäcktes att cacti är sårbar för flera serveröverskridande skriptangrepp med hjälp av olika vektorer.
- CVE-2009-4112
Det har upptäckts att cacti tillåter autentiserade administratörsanvändare att få åtkomst till värdsystemet genom att exekvera godtyckliga kommandon med hjälp av
Data Input Method
för inställningenLinux - Get Memory Usage
.Det finns för tillfället ingen rättelse till detta problem. Uppströms kommer implementera en vitlistningspolicy för att bara tillåta vissa
säkra
kommandon. För tillfället rekommenderar vi att sådan åtkomst bara ges till pålitliga användare och att valenData Input
ochUser Administration
i övrigt är avaktiverade.
För den gamla stabila utgåvan (Etch) har dessa problem rättats i version 0.8.6i-3.6.
För den stabila utgåvan (Lenny) har detta problem rättats i version 0.8.7b-2.1+lenny1.
För uttestningsutgåvan (Squeeze) kommer detta problem att rättas inom kort.
För den instabila utgåvan (Sid) har detta problem rättats i version 0.8.7e-1.1.
Vi rekommenderar att ni uppgraderar era cacti-paket.
- CVE-2007-3112, CVE-2007-3113
- Rättat i:
-
Debian GNU/Linux 4.0 (etch)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6i-3.6_all.deb
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.7b-2.1+lenny1_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.