Debian-Sicherheitsankündigung

DSA-164-1 cacti -- Willkürliche Code-Ausführung

Datum des Berichts:
10. Sep 2002
Betroffene Pakete:
cacti
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-1477, CVE-2002-1478.
Weitere Informationen:

Ein Problem in cacti wurde entdeckt, einem PHP basierendem Frontend für rrdtool zur System- und Dienstüberwachung. Dies könnte dazu führen, dass cacti willkürlichen Programm-Code mit der Benutzer-ID des Webservers ausführt. Dieses Problem besteht jedoch nur für Benutzer, die bereits Administrationsrechte im cacti System besitzen.

Dieses Problem wurde durch das Löschen von Dollar und verkehrte Hochkomma aus der Titel-Zeichenkette in Version 0.6.7-2.1 für die aktuelle stable Distribution (Woody) und in Version 0.6.8a-2 für die unstable Distribution (Sid) behoben. Die alte stable Distribution (Potato) ist nicht davon betroffen, da sie das cacti-Paket nicht enthält.

Wir empfehlen Ihnen, Ihr cacti Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.