Bacheca Debian sulla sicurezza

DSA-164-1 cacti -- esecuzione arbitraria di codice

Data della segnalazione:
10 set 2002
Pacchetti coinvolti:
cacti
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel dizionario CVE di Mitre: CVE-2002-1477, CVE-2002-1478.
Maggiori informazioni:

È stato trovato un problema in cacti, un frontend scritto in PHP a rrdtool che serve a monitorare sistemi e servizi. Questo potrebbe portare cacti a eseguire un codice qualsiasi sotto l'utente del server web. Questo problema è persistente per gli utenti che hanno privilegi di amministratore nel sistema cacti.

Questo problema è stato risolto rimuovendo tutti i simboli del dollaro e le aperte virgolette singole dal titolo nella versione 0.6.7-2.1 per la attuale distribuzione stable (woody) e nella versione 0.6.8a-2 per la distribuzione unstable (sid). La precedente versione stable (potato) non affetta dal problema perché non contiene il paccketto cacti.

Raccomandiamo di aggiornare i propri pacchetti cacti immediatamente.

Risolto in:

Debian GNU/Linux 3.0 (woody)

Sorgente:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.