Debian-Sicherheitsankündigung
DSA-764-1 cacti -- Mehrere Verwundbarkeiten
- Datum des Berichts:
- 21. Jul 2005
- Betroffene Pakete:
- cacti
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 316590, Fehler 315703.
In Mitres CVE-Verzeichnis: CVE-2005-1524, CVE-2005-1525, CVE-2005-1526, CVE-2005-2148, CVE-2005-2149. - Weitere Informationen:
-
Mehrere Verwundbarkeiten wurden in cacti entdeckt, einem
round-robin
-Datenbankhilfsprogramm (RRD), das die Erstellung von Grafiken aus Datenbankinformationen unterstützt. DasCommon Vulnerabilities and Exposures Project
identifiziert die folgenden Probleme:- CAN-2005-1524
Maciej Piotr Falkiewicz sowie ein anonymer Forscher entdeckten einen Fehler bei der Eingabeüberprüfung, der es einem Angreifer erlaubt, beliebigen PHP-Code von fremden Websites einzubinden, wodurch die Ausführung von beliebigem Code auf dem Server möglich wird, auf dem cacti läuft.
- CAN-2005-1525
Auf Grund einer fehlenden Eingabeüberprüfung ermöglicht cacti einem entfernten Angreifer, beliebige SQL-Befehle einzufügen.
- CAN-2005-1526
Maciej Piotr Falkiewicz entdeckte einen Fehler bei der Eingabeüberprüfung, der es einem Angreifer erlaubt, beliebigen PHP-Code von fremden Websites einzubinden, wodurch die Ausführung von beliebigem Code auf dem Server möglich wird, auf dem cacti läuft.
- CAN-2005-2148
Stefan Esser entdeckte, dass die Aktualisierung für die oben genannten Verwundbarkeiten keine ausreichende Eingabeüberprüfung durchführt, um gegen häufige Angriffe geschützt zu sein.
- CAN-2005-2149
Stefan Esser entdeckte, dass die Aktualisierung für CAN-2005-1525 entfernten Angreifern erlaubt, Sessioninformationen zu verändern, um dadurch Rechte zu erlangen und die Verwendung von addslashes abzuschalten, was für den Schutz gegen SQL-Injektionen benötigt wird.
Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 0.6.7-2.5 behoben.
Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.8.6c-7sarge2 behoben.
Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 0.8.6f-2 behoben.
Wir empfehlen Ihnen, Ihr cacti-Paket zu aktualisieren.
- CAN-2005-1524
- Behoben in:
-
Debian GNU/Linux 3.0 (woody)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.