Debians sikkerhedsbulletin

DSA-164-1 cacti -- udførelse af vilkårlig kode

Rapporteret den:
10. sep 2002
Berørte pakker:
cacti
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-1477, CVE-2002-1478.
Yderligere oplysninger:

Der er opdaget et problem i cacti, en PHP-baseret overbygning til rrdtool der bruges til overvågning af systemer og tjenester. Problemet kunne føre til at cacti udførte vilkårlig programkode under webserverens brugerid. Problemet gælder dog kun for brugere, som allerede har administratorrettigheder i cacti-systemet.

Dette problem er rettet ved at fjerne alle dollar- og accent grave-tegn fra titel-strengen i version version 0.6.7-2.1 i den aktuelle stabile distribution (woody) og i version 0.6.8a-2 i den ustabile distribution (sid). Den gamle stabile distribution (potato) er ikke påvirket, da den ikke indeholder pakken cacti.

Vi anbefaler at du omgående opgraderer din cacti-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.