Alerta de Segurança Debian

DSA-164-1 cacti -- execução arbitrária de código

Data do Alerta:
10 Set 2002
Pacotes Afetados:
cacti
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2002-1477, CVE-2002-1478.
Informações adicionais:

Um problema no pacote cacti, uma interface baseada em PHP para o rrdtool que serve para monitoramento de sistemas e serviços, foi descoberto. Isso pode conduzir dentro do cacti a execução arbitrária de código de programa com o id do usuário do servidor web. Esse problema, entretanto, somente persiste para usuários que já têm privilégios de administrador no sistema cacti.

Este problema foi corrigido removendo quaisquer caracteres dólar e aspas ao contrário do título da string na versão 0.6.7-2.1 para a distribuição estável atual (woody) e na versão 0.6.8a-2 para a distribuição instável(sid). A velha distribuição estável (potato) não é afetada pois não contém o pacote cacti.

Nós recomendamos que você atualize seu pacote cacti imediatamente.

Corrigido em:

Debian GNU/Linux 3.0 (woody)

Fonte:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.dsc
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1.diff.gz
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.1_all.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.