Remco Verhoef har opdaget en sårbarhed i acidlab, Analysis Console for Intrusion Databases, og i acidbase, Basic Analysis and Security Engine, der kunne udnyttes af ondsindede brugere til at udføre SQL-indsprøjtningsangreb.
Vedligeholderne af Analysis Console for Intrusion Databases (ACID) i Debian, som BASE er afledt af, har efter en sikkerhedsaudit af både BASE og ACID konstateret at den fundne fejl ikke kun påvirkede komponenterne base_qry_main.php (i BASE) og acid_qry_main.php (i ACID), men også fandtes i andre elementer i konsollerne på grund af ukorrekt validering og filtrering af parametre.
Alle de fundne fejl i forbindelse med SQL-indspøjtning og udførelse af skripter på tværs af websteder (cross site scripting) er rettet i Debian-pakken, hvilket lukker alle de fundne angrebsvektorer.
I den gamle stabile distribution (woody) er dette problem rettet i version 0.9.6b20-2.1.
I den stabile distribution (sarge) er dette problem rettet i version 0.9.6b20-10.1.
I den ustabile distribution (sid) er dette problem rettet i version 0.9.6b20-13 og i version 1.2.1-1 af acidbase.
Vi anbefaler at du opgraderer dine acidlab- og acidbase-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.