Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2539-1 zabbix

Säkerhetsbulletin från Debian

DSA-2539-1 zabbix -- SQL-injicering

Rapporterat den:

2012-09-06

Berörda paket:

zabbix

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 683273.
I Mitres CVE-förteckning: CVE-2012-3435.

Ytterligare information:

Man har upptäckt att Zabbix, ett nätverksövervakningsverktyg, inte ordentligt validerar användarindata som används som en del av en SQL-förfrågan. Detta kan tillåta icke-autentiserade angripare att köra godtyckliga SQL-kommandon (SQL-injicering) och möjligen öka rättigheter.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1:1.8.2-1squeeze4.

För uttestningsutgåvan (Wheezy), kommer detta problem rättas inom kort.

För den instabila utgåvan (Sid) har detta problem rättats i version 1:2.0.2+dfsg-1.

Vi rekommenderar att ni uppgraderar era zabbix-paket.