Flere sårbarheder er opdaget i cacti, et "round-robin"-databaseværktøj (RRD) som hjælper med at fremstille grafer fra databaseoplysninger. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
Maciej Piotr Falkiewicz og en anonym efterforsker har opdaget en fejl i kontrollen af inddata, der gjorde det muligt for en angriber at indlejre vilkårlig PHP-kode fra andre websteder, hvilket tillod udførelse af vilkårlig kode på serveren der kører cacti.
På grund af manglende kontrol af inddata tillod cacti at fjernangribere kunne indsætte vilkårlige SQL-kommandoer.
Maciej Piotr Falkiewicz har opdaget en fejl ved kontrol af inddata, som gjorde det muligt for en angriber at indsprøjte vilkårlig PHP-kode fra andre websteder, hvilket tillod udførelse af vilkårlig kode på serveren der kører cacti.
Stefan Esser har opdaget at opdateringen til de ovenfor nævnte sårbarheder ikke udfører korrekt kontrol af inddata som beskyttelse mod gængse angreb.
Stefan Esser har opdaget at opdateringen til CAN-2005-1525 tillader at fjernangribere ændre sessionsoplysninger for at opnå rettigheder og slå anvendelsen af addslashes fra, der beskytter mod indsprøjtning af SQL.
I den gamle stabile distribution (woody) er disse problemer rettet i version 0.6.7-2.5.
I den stabile distribution (sarge) er disse problemer rettet i version 0.8.6c-7sarge2.
I den ustabile distribution (sid) er disse problemer rettet i version 0.8.6f-2.
Vi anbefaler at du opgraderer din cacti-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.