Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-764-1 cacti -- Mehrere Verwundbarkeiten

Datum des Berichts:

21. Jul 2005

Betroffene Pakete:

cacti

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

In der Debian-Fehlerdatenbank: Fehler 316590, Fehler 315703.
In Mitres CVE-Verzeichnis: CVE-2005-1524, CVE-2005-1525, CVE-2005-1526, CVE-2005-2148, CVE-2005-2149.

Weitere Informationen:

Mehrere Verwundbarkeiten wurden in cacti entdeckt, einem round-robin-Datenbankhilfsprogramm (RRD), das die Erstellung von Grafiken aus Datenbankinformationen unterstützt. Das Common Vulnerabilities and Exposures Project identifiziert die folgenden Probleme:

• CAN-2005-1524

  Maciej Piotr Falkiewicz sowie ein anonymer Forscher entdeckten einen Fehler bei der Eingabeüberprüfung, der es einem Angreifer erlaubt, beliebigen PHP-Code von fremden Websites einzubinden, wodurch die Ausführung von beliebigem Code auf dem Server möglich wird, auf dem cacti läuft.

• CAN-2005-1525

  Auf Grund einer fehlenden Eingabeüberprüfung ermöglicht cacti einem entfernten Angreifer, beliebige SQL-Befehle einzufügen.

• CAN-2005-1526

  Maciej Piotr Falkiewicz entdeckte einen Fehler bei der Eingabeüberprüfung, der es einem Angreifer erlaubt, beliebigen PHP-Code von fremden Websites einzubinden, wodurch die Ausführung von beliebigem Code auf dem Server möglich wird, auf dem cacti läuft.

• CAN-2005-2148

  Stefan Esser entdeckte, dass die Aktualisierung für die oben genannten Verwundbarkeiten keine ausreichende Eingabeüberprüfung durchführt, um gegen häufige Angriffe geschützt zu sein.

• CAN-2005-2149

  Stefan Esser entdeckte, dass die Aktualisierung für CAN-2005-1525 entfernten Angreifern erlaubt, Sessioninformationen zu verändern, um dadurch Rechte zu erlangen und die Verwendung von addslashes abzuschalten, was für den Schutz gegen SQL-Injektionen benötigt wird.

Für die alte Stable-Distribution (Woody) wurden diese Probleme in Version 0.6.7-2.5 behoben.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 0.8.6c-7sarge2 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 0.8.6f-2 behoben.

Wir empfehlen Ihnen, Ihr cacti-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.0 (woody)

Quellcode:

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.dsc

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5.diff.gz

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.6.7-2.5_all.deb

Debian GNU/Linux 3.1 (sarge)

Quellcode:

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.dsc

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2.diff.gz

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c.orig.tar.gz

Architektur-unabhängige Dateien:

http://security.debian.org/pool/updates/main/c/cacti/cacti_0.8.6c-7sarge2_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français svenska

Wie stellt man die Standardsprache ein